Vu d’ensemble du malware CRON#TRAP
Les chercheurs en cybersécurité ont récemment identifié une campagne de malwares particulièrement ingénieuse, baptisée CRON#TRAP. Ce malware s’introduit discrètement dans les systèmes Windows en utilisant des machines virtuelles Linux pour contourner les détections des antivirus traditionnels. Une méthode sophistiquée commence par un fichier Windows LNK malveillant, souvent intégré dans des archives ZIP diffusées par email. Lors de la découverte par des experts tels que Den Iuzvyk et Tim Peck de Securonix, l’un des aspects les plus troublants de CRON#TRAP est son utilisation d’une instance de Linux émulée et dotée d’une porte dérobée, assurant ainsi une connexion automatique avec un serveur de commande contrôlé par des attaquants.
Techniques d’infection et contournement des antivirus
Le processus d’infection commence par un email de phishing prétendant être une enquête d’OneAmerica, incluant souvent une archive ZIP de 285MB. Une fois ouverte, celle-ci déclenche l’infection. Le fichier LNK agit comme un conduit pour extraire et lancer un environnement Linux léger, simulé via Quick Emulator (QEMU), un outil de virtualisation open-source. Ce cadre exécute ensuite des commandes PowerShell qui restaurent le fichier ZIP et exécutent un script « start.bat », montrant une fausse erreur à la victime pour la tromper, tandis qu’en arrière-plan, il configure un environnement Linux virtuel appelé PivotBox. Cet environnement intègre Chisel, un outil de tunneling, offrant un accès distant dès le démarrage.
Nouveaux enjeux pour la cybersécurité
Le développement de tactiques de phishing et de contournement, tel que CRON#TRAP, pose de nouveaux défis aux organisations en matière de protection de leurs systèmes. Les stratégies des cybercriminels évoluent constamment pour masquer leurs activités malveillantes, et il devient crucial d’adopter des mesures de sécurité proactives. Une des campagnes associées a ciblé des entreprises industrielles et de fabrication électrique en Europe, utilisant des commandes de fichiers batch pour introduire des scripts PowerShell dissimulés et finalement déployer des malwares comme GuLoader. Cela souligne la résilience des acteurs de la menace à adapter leurs techniques afin de persister dans des environnements hostiles.
