Investigadores de ciberseguridad han revelado una nueva técnica de ataque dirigida a sistemas Linux. Esta técnica utiliza correos electrónicos de phishing que contienen archivos RAR maliciosos. La particularidad de este ataque reside en que el malware, un backdoor de código abierto llamado VShell, no se encuentra oculto en el contenido del archivo ni en macros, sino que está codificado directamente en el nombre del archivo RAR.

Según un investigador de Trellix, la cadena de infección comienza con un correo electrónico no deseado que contiene un archivo RAR malicioso. La explotación se basa en la inyección de comandos shell y la codificación Base64 en el nombre del archivo. De esta forma, una simple operación de listado de archivos se convierte en un disparador para la ejecución automática del malware.

La técnica aprovecha la falta de sanitización adecuada en los scripts shell al evaluar nombres de archivos, permitiendo que comandos triviales como `eval` o `echo` faciliten la ejecución de código arbitrario. Un aspecto importante es que los motores antivirus tradicionales no suelen escanear los nombres de los archivos, lo que permite evadir las defensas convencionales.

El ataque comienza con un correo electrónico que contiene un archivo RAR adjunto, que incluye un archivo con un nombre maliciosamente diseñado: “ziliao2.pdf`{echo,}|{base64,-d}|bash`”. Este nombre incorpora código compatible con Bash que se ejecuta cuando el shell lo interpreta. La ejecución se produce cuando un script shell intenta analizar el nombre del archivo.

El malware ejecuta un descargador codificado en Base64 que recupera un binario ELF desde un servidor externo, adaptado a la arquitectura del sistema (x86_64, i386, i686, armv7l o aarch64). Este binario se comunica con un servidor de comando y control (C2) para obtener el payload de VShell cifrado, decodificarlo y ejecutarlo en el host.

Los correos electrónicos de phishing se disfrazan de invitaciones a una encuesta sobre productos de belleza, ofreciendo una pequeña recompensa monetaria. El archivo RAR adjunto (‘yy.rar’) no incluye instrucciones explícitas para ser abierto o extraído, lo que hace que la ingeniería social sea sutil.

VShell, la herramienta de acceso remoto basada en Go, ha sido utilizada por grupos de hackers chinos y permite el control remoto completo del sistema infectado. Opera completamente en memoria, lo que dificulta la detección basada en disco.

Además, se menciona una herramienta post-explotación llamada RingReaper que utiliza el framework io_uring del kernel de Linux para eludir las herramientas de monitorización tradicionales. RingReaper recopila información del sistema minimizando su huella y evitando la detección.

En INGENIERÍA TELEMÁTICA SAS, estamos al tanto de las últimas amenazas y vulnerabilidades. Para proteger su infraestructura Linux y prevenir ataques como este, le recomendamos fortalecer sus defensas con nuestras soluciones de seguridad, incluyendo firewalls, sistemas EDR/XDR y SOC. Si desea una evaluación de seguridad o necesita ayuda para implementar medidas de protección, no dude en contactarnos a través de nuestro formulario de contacto o a través de los medios habituales si ya es cliente.

Fuente original: Ver aquí