新型网络钓鱼活动针对 Windows 系统，利用恶意 Linux 虚拟机 媒体

2025-11-13 20:04:48

新型网络钓鱼攻击：Windows系统被后门感染的Linux虚拟机

关键要点

新的CRON#TRAP网络钓鱼活动使Windows系统受到后门感染，利用Linux虚拟机实现隐秘网络访问。攻击从伪装成“OneAmerica调查”的钓鱼邮件开始，附带的ZIP文件包含Windows快捷方式和可执行文件。攻击中部署的自定义Tiny Core QEMU Linux虚拟机名为PivotBox，其内置后门。使用预配置的Chisel网络隧道程序进行指挥与控制通信，并支持命令执行、网络管理、监控和数据盗窃。专家建议组织对‘qemuexe’进程进行监控，并禁止使用QEMU和其他虚拟化程序。

近日，BleepingComputer报道，Windows系统在新的CRON#TRAP网络钓鱼活动中被后门感染，攻击者利用包含Linux虚拟机的方式来实现隐秘的网络访问。

攻击过程以包含伪装成“OneAmerica调查”的钓鱼邮件为起点，这封邮件内含一个ZIP文件，里面有一个Windows快捷方式和主要可执行文件。根据Securonix的分析，此次攻击最终部署了一种名为PivotBox的自定义Tiny Core QEMU Linux虚拟机，该虚拟机中包含后门。该虚拟机不仅使用预配置的Chisel网络隧道程序进行指挥与控制的通信，还支持执行命令，从而实现网络与载荷管理、监控以及数据窃取。

研究人员指出，这一发现出现在Kaspersky研究人员报告QEMU被利用来建立虚拟网络接口几个月后，组织机构应对此表示警惕，建议监控‘qemuexe’进程的执行情况，并禁止使用QEMU及其他虚拟化程序以防止进一步的安全隐患。

轻蜂加速器pc

如果您想了解更多关于病毒及网络安全的知识，可以参考这些资源： 网络钓鱼攻击的防范 Kaspersky研究报告

攻击特征描述钓鱼邮件类型伪装成调查的邮件附件ZIP文件，内含Windows快捷方式和可执行文件虚拟机名称PivotBox后门功能网络管理、监控与数据窃取网络隧道程序Chisel

总之，面对这一新型的网络安全威胁，企业和个人在确保网络安全方面需要保持敏感与预警。确保及时监控和禁止可疑程序的执行，是降低风险的有效做法。