駭客鎖定Windows電腦散播惡意捷徑檔，若不慎點選，會執行內含後門的虛擬機器

利用虛擬機器（VM）從事攻擊行動的事故，約莫5至10年前曾出現數起，當時駭客使用搭配舊版視窗作業系統（如Windows XP）的VM，意圖突破受害電腦的資安防護機制，進行惡意活動，如今類似的攻擊行動再度出現。

資安業者Securonix揭露名為Cron#Trap的資安事故，他們在調查利用惡意捷徑檔案（LNK）的攻擊行動當中，發現該檔案一旦執行，就會載入並啟動以QEMU打造的Linux環境，而且，這些VM已經事先設置了後門程式，啟動後會自動與C2進行連線。

研究人員指出，由於在開發環境或是研究經常會使用QEMU，攻擊者運用這樣的做法，能夠在受害電腦維持隱形的狀態，並進行後續的惡意活動，且難以被防毒軟體察覺。研究人員提到，這是他們首度看到有攻擊者將QEMU用於挖礦以外的攻擊行動。

針對攻擊者與受害範圍，研究人員表示尚無法確定，根據遙測資料，大多數攻擊來自美國及歐洲，再加上駭客慣用的語言，以及C2伺服器位於美國，他們推測主要目標很有可能是北美。

針對這波攻擊行動，研究人員無法確定攻擊來源，不過他們認為整個攻擊流程的開始源於釣魚郵件，內容包含下載ZIP壓縮檔的連結。駭客假冒金融機構OneAmerica的名義，聲稱要進行調查。值得一提的是，這個ZIP檔案大小竟高達285 MB，可能會引起部分使用者懷疑。

究竟該壓縮檔的內容是什麼？當中包含了LNK檔案及名為data的資料夾，而該資料夾實際上就是QEMU程式的安裝目錄。由於data資料夾裡面的內容全部都被設為隱藏，一般使用者可能會以為裡面空無一物，而點選LNK檔案觸發攻擊鏈。

一旦LNK檔案執行，就會啟動PowerShell下載其他需要的元件，然後執行批次檔start.bat進行組態設定，並啟動在QEMU執行以Tiny Core Linux為基礎打造的VM，他們將其稱為PivotBox。

特別的是，該批次檔還會下載、顯示內部伺服器錯誤的PNG圖檔，藉此讓收信人降低戒心。

而這個VM預載的工具當中，關鍵是名為Chisel的網路隧道建構與運作工具，攻擊者透過事先安排的組態設定，透過Web Socket與C2建立通訊。

值得留意的是，濫用QEMU的情況已非首例。今年3月，資安業者卡巴斯基揭露另一起網路攻擊事故，當中駭客使用QEMU設置虛擬網路介面，並使用Kali Linux打造只占用1 MB記憶體的VM來建置隱密的隧道。