Artigo publicado no Bleepingcomputer, escrito por Bill Toulas, relata uma nova campanha de phishing que usa VMs Linux com backdoors para infectar computadores Windows.
Os e-mails de phishing contêm anexos maliciosos que, quando abertos, implantam uma VM Linux que atua como um backdoor, permitindo que os invasores executem comandos remotamente e roubem dados.
Esta campanha de phishing usa VMs Linux para contornar as medidas de segurança tradicionais, já que são executadas em segundo plano sem serem detectadas por software antivírus ou firewalls.
Os outlaws usam uma VM Linux TinyCore personalizada, chamada ‘PivotBox’, que vem pré-carregada com um backdoor para estabalecer uma comunicação persistente de comando e controle (C2), permitindo que os invasores operem em segundo plano.
A virtualização é feita com o QEMU, que também é assinado digitalmente, impedindo o Windows de emitir qualquer alerta sobre sua execução. Além disso, as ferramentas de segurança não conseguem inspecionar quais programas maliciosos estão sendo executados dentro da máquina virtual.
Fonte: links no texto