Negli ultimi tempi, gli esperti di sicurezza informatica **stanno lanciando allerta su nuove minacce**, e l’ultima di queste si chiama CRON#TRAP. Secondo le informazioni fornite, questo virus si nasconde all’interno di email di phishing ed è una macchina virtuale basata su Linux, che offre ai **malintenzionati un potente strumento** per condurre attacchi nei sistemi infettati.
Il ritorno delle macchine virtuali
Recentemente, i pirati informatici hanno scoperto che l’**installazione di macchine virtuali** rappresenta un metodo estremamente efficace per eseguire i loro attacchi. Grazie a questa tecnologia, potranno sfruttare una straordinaria potenzialità di attacco e, una volta installate, possono accedere a una vasta gamma di funzioni. Tuttavia, uno degli aspetti complicati di questa strategia è il fatto che i criminali informatici devono prima riuscire a infiltrarsi nella rete a cui è connesso il computer. Questo rende il processo non così semplice come potrebbe sembrare inizialmente.
Il vero problema, ora, è che i criminali informatici hanno trovato **una strategia per aggirare questo ostacolo**, accelerando così il loro processo di attacco. In effetti, risulta molto più semplice inviare un’email di phishing di successo piuttosto che tentare di violare una rete aziendale, dove la protezione è, di norma, molto robusta.
Virus camuffato da sondaggio
La strategia escogitata dai pirati informatici, come rilevato da Securonix, prevede che vengano inviati email travestiti da **sondaggi con il nome di OneAmerica**. Gli utenti ignari non sospettano che all’interno di queste email sia presente un file di installazione della macchina virtuale maligna.
Viene richiesto agli utenti di installare il file, presentato come un innocuo **OneAmerica Survey.lnk**. Questo file è compresso all’interno di un’archiviazione ZIP progettata per trasmettere fiducia e mascherare la presenza della macchina virtuale Linux nascosta. Per ridurre al minimo il sospetto, durante l’installazione della macchina virtuale viene visualizzato un messaggio di errore fittizio, simile a un problema legato al sondaggio. Nel frattempo, l’**installazione del TinyCore Linux VM** avviene tramite QEMU, un’applicazione che Windows non identifica come un software dannoso, in quanto è normalmente utilizzata per scopi legittimi. Pertanto, i malintenzionati possono sfruttare questa vulnerabilità senza che il sistema operativo Microsoft possa accorgersi di nulla di sospetto.
Dopo aver superato questa fase, i criminali informatici possono iniziare a sfruttare la **porta posteriore** installata sui computer delle vittime per eseguire ogni tipo di attività malevola. In questo contesto, viene utilizzato uno strumento chiamato Chisel, che **permette di controllare la rete della vittima** e offre al hacker la possibilità di configurare varie coperture e strategie di attacco. Tra le operazioni che possono essere eseguite ci sono la sorveglianza delle attività della vittima, il controllo dei processi e **l’estrazione di dati e file**. I pirati hanno un livello di controllo che supera di gran lunga le aspettative delle vittime colpite. Fortunatamente o sfortunatamente, questa minaccia sembra concentrarsi principalmente su reti aziendali, ma preoccupa comunque la rapidità con cui queste infezioni si diffondono. Gli esperti di sicurezza consigliano vivamente di **bloccare la presenza di QEMU** sui dispositivi, visto che è già stato utilizzato in numerosi attacchi simili.
