Windows sufre una nueva infección que llega en forma de email de phishing con un ejecutable escondido
Las infecciones continúan en el entorno de Windows y, en esta ocasión, la amenaza se encuentra camuflada en un email de phishing que cualquiera podría llegar a recibir en su correo. En ese envío se incluye un ejecutable que se ocupa de llevar a cabo la infección y meter en problemas a los usuarios.
Los expertos en seguridad siguen avisando de nuevas amenazas y, la última, recibe el nombre de CRON#TRAP. Tal y como informan, el virus que está escondido en el correo electrónico de phishing es una máquina virtual de Linux que les da alas a los hackers para que puedan hacer de las suyas en los equipos infectados.
De nuevo las máquinas virtuales
En los últimos tiempos, los hackers han encontrado en la instalación de máquinas virtuales una manera muy conveniente de poder llevar a cabo sus ataques. Tienen a su disposición gran capacidad de ataque y, una vez las instalan, cuentan con todo tipo de posibilidades de las que sacar provecho. No obstante, uno de los problemas de esa estrategia de ataque se encuentra en que, primero, los hackers tienen que colar la máquina virtual a través de una red a la que esté conectado el ordenador. Por lo tanto, no es tan fácil como se podría imaginar.
El problema es que ahora, a través de este nuevo método, han visto una forma de saltarse ese impedimento y de acelerar el proceso de ataque. A todas luces, parece mucho más sencillo el enviar un correo de phishing y tener éxito que colarse en una red que, en los casos de empresas, seguramente se encuentre bien protegida.
Virus escondido detrás de una encuesta
La estrategia por la que han optado los hackers en este caso, la cual ha sido descubierta por Securonix, consiste en que los cibercriminales envían un correo electrónico a sus posibles víctimas. Ese correo viene disfrazado como una encuesta con el nombre de OneAmerica. Lo que no saben los usuarios es que, en el email, viene escondido un archivo de instalación de la máquina virtual en cuestión.
Se les solicita a los usuarios, con una buena dosis de palabrería corporativa de por medio, que hagan la instalación del archivo, el cual aparece con el nombre de OneAmerica Survey.lnk. Está dentro de un archivo ZIP que trata de transmitir confianza y que no evidencia que hay una máquina virtual de Linux escondida en su trasfondo. Para que las víctimas no sospechen de lo que está pasando, mientras se está instalando la máquina virtual les salta en pantalla un mensaje de error simulando que hay algún problema con la encuesta. Mientras tanto, la instalación de TinyCore Linux VM se completa usando QEMU, una aplicación que Windows no detecta como maliciosa porque, en realidad, tiene otros usos. Simplemente, los hackers la utilizan sin que el sistema operativo de Microsoft se dé cuenta de que está ocurriendo algo malo a su alrededor.
A partir de ahí, los hackers ya pueden usar la puerta trasera que han instalado en el ordenador para realizar todo tipo de acciones. En este proceso se usa una herramienta conocida como Chisel que habilita el control de la red de la víctima y que, además, le permite al hacker configurar distintas coberturas. Por ejemplo, lo que hacen es configurar el sistema para que, cada vez que el usuario reinicie su equipo o red, el virus continúe haciendo de las suyas y que incluso evite tener que hacer dobles identificaciones.
Entre las posibilidades de las que pueden hacer uso los hackers se incluye la vigilancia de la actividad de la víctima, el control de procesos o la extracción de datos y archivos. En general, los hackers tienen control sobre mucho más de lo que los usuarios afectados habrían imaginado. Por suerte, o por desgracia para quienes lo sufran, esta amenaza parece que se concentra en redes corporativas de empresas, aunque no deja de ser preocupante ver las formas en las que están avanzando estas infecciones. Los expertos recomiendan bloquear la presencia de QEMU en los equipos a la vista de que ya ha sido utilizado en varias ocasiones con objetivos similares.
Para protegerse de este tipo de amenazas debemos verificar la autenticidad de los correos electrónicos, evitar abrir archivos adjuntos sospechosos o con extensiones que no sean coherentes (un documento de Excel acabado en .exe o .vbs), mantener siempre el sistema y los programas actualizados y utilizar soluciones de seguridad de alta fiabilidad.