Dentro de tu computadora podría ocultarse un sistema operativo completo que roba tu identidad.
Los especialistas de Securonix descubrieron un ciberataque inusual llamado CRON#TRAP. Los hackers utilizan un acceso directo malicioso que, al ejecutarse, inicia una versión personalizada de Linux oculta mediante el programa QEMU. Este mecanismo permite a los atacantes permanecer de manera imperceptible en la computadora de la víctima y controlarla, eludiendo los programas de seguridad.
QEMU es una herramienta legal para virtualización, por lo que su presencia normalmente no despierta sospechas. En el ataque, los delincuentes configuraron QEMU para ejecutar una pequeña versión de Linux, Tiny Core Linux, con una puerta trasera incorporada. El programa se conecta automáticamente con un servidor C2, proporcionando a los hackers un acceso persistente para controlar el sistema.
Los investigadores consideran que la infección comenzó con un correo de phishing. En el correo se incluía un archivo llamado «OneAmerica Survey.zip» de 285 MB, que contenía un acceso directo y una carpeta con QEMU. Al descomprimir el archivo, el usuario solo ve el acceso directo que, al ejecutarse, inicia una cadena de acciones: primero muestra un mensaje de error y luego ejecuta QEMU, disfrazado como un archivo llamado «fontdiag.exe». En el entorno Linux oculto, los hackers pueden interactuar con el sistema principal usando comandos especiales, por ejemplo, para obtener datos del usuario.
Además, en el sistema virtual PivotBox, los delincuentes instalaron programas que ayudan a monitorear la red, cargar archivos y guardar cambios. Una de las herramientas clave es el archivo «crondx», una versión modificada del programa Chisel. La herramienta permite transferir datos de manera oculta a través de firewalls, creando una conexión cifrada persistente con el servidor de los hackers.
Este método de ataque requiere habilidades avanzadas y el uso de herramientas legítimas, lo que dificulta su detección. Securonix recomienda evitar descargar archivos de fuentes desconocidas, especialmente archivos comprimidos enviados por correo electrónico. También se debe verificar las carpetas del sistema en busca de archivos sospechosos y habilitar el registro de actividades en PowerShell para detectar a tiempo los intentos de los atacantes de acceder al sistema.