Los investigadores de ciberseguridad han arrojado luz sobre una nueva cadena de ataque que emplea correos electrónicos de phishing para entregar una puerta trasera de código abierto llamado Vshell.
La «cadena de infección de malware específica de Linux que comienza con un correo electrónico spam con un archivo de archivo rar malicioso», dijo el investigador de Trellix Sagar Bade en una redacción técnica.
«La carga útil no está oculta dentro del contenido del archivo o en una macro, está codificada directamente en el nombre de archivo en sí. Mediante el uso inteligente de la inyección de comando de shell y las cargas de bash codificadas en Base64, el atacante convierte una simple operación de listado de archivos en un desencadenante automático de ejecución de ejecución de malware».
La técnica, agregada la compañía de seguridad cibernética, aprovecha un patrón simple pero peligroso comúnmente observado en los scripts de shell que surge cuando los nombres de archivos se evalúan con desinfección inadecuada, lo que provoca un comando trivial como Eval o Echo para facilitar la ejecución del código arbitrario.
Además, la técnica ofrece la ventaja adicional de evitar las defensas tradicionales, ya que los motores antivirus generalmente no escanean los nombres de archivos.
El punto de partida del ataque es un mensaje de correo electrónico que contiene un archivo RAR, que incluye un archivo con un nombre de archivo malicioso: «Ziliao2.pdf` {Echo,
Específicamente, el nombre del archivo incorpora un código compatible con BASH que está diseñado para ejecutar comandos cuando el shell lo interpreta. Vale la pena señalar que simplemente extraer el archivo del archivo no activa la ejecución. Más bien, ocurre solo cuando un script o comando de shell intenta analizar el nombre del archivo.
Otro aspecto importante a considerar aquí es que no es posible crear manualmente un nombre de archivo con esta sintaxis, lo que significa que probablemente se creó usando otro idioma o se dejó caer usando una herramienta externa o script que evita la validación de entrada de shell, dijo Trellix.
Esto, a su vez, lleva a la ejecución de un descargador codificado Base64 incrustado, que luego recupera de un servidor externo un binario ELF para la arquitectura del sistema apropiada (x86_64, i386, i686, Armv7l o Aarch64). El binario, por su parte, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil Vshell cifrada, decodificar y ejecutarla en el host.
Trellix dijo que los correos electrónicos de phishing están disfrazados como una invitación para una encuesta de productos de belleza, atrayendo a los destinatarios con una recompensa monetaria (10 RMB) por completarla.
«Crucialmente, el correo electrónico incluye un archivo adjunto de archivo RAR (‘yy.rar’), a pesar de que no instruye explícitamente al usuario que lo abra o extraiga», explicó Bade. «El ángulo de ingeniería social es sutil: el usuario se distrae con el contenido de la encuesta, y la presencia del archivo adjunto podría confundirse con un documento o archivo de datos relacionado con la encuesta».
Vshell es una herramienta de acceso remoto basada en GO que los grupos de piratería chinos utilizaron ampliamente en los últimos años, incluida UNC5174, que admite Shell inverso, operaciones de archivos, gestión de procesos, reenvío de puertos y comunicaciones C2 cifradas.
Lo que hace que este ataque sea peligroso es que el malware opera completamente en memoria, evitando la detección basada en disco, sin mencionar que puede apuntar a una amplia gama de dispositivos Linux.
«Este análisis destaca una evolución peligrosa en la entrega de malware de Linux, donde un simple nombre de archivo integrado en un archivo de RAR puede ser armado para ejecutar comandos arbitrarios», dijo Trellix. «La cadena de infección explota la inyección de comando en bucles de shell, abusa del entorno de ejecución permisiva de Linux y, en última instancia, ofrece un potente malware Vshell Vshell capaz de control remoto completo sobre el sistema».
El desarrollo se produce cuando PICUS Security lanzó un análisis técnico de una herramienta posterior al explotador centrada en Linux denominado RingreAper que aprovecha el marco Io_uring del kernel de Linux para eludir las herramientas de monitoreo tradicionales. Actualmente no se sabe quién está detrás del malware.
«En lugar de invocar funciones estándar, como leer, escribir, escribir, enviar o conectar, ringreAper emplea io_uringprimitives (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de manera asincrónica», dijo el investigador de seguridad Sıla özeren Hacıoğlu. «Este método ayuda a evitar los mecanismos de detección basados en gancho y reduce la visibilidad de la actividad maliciosa en la telemetría comúnmente reunida por las plataformas EDR».
RingreAper utiliza io_uring para enumerar los procesos del sistema, las sesiones pseudo-terminales activas (PTS), las conexiones de red y los usuarios iniciados, al tiempo que reducen su huella y evitan la detección. También es capaz de recopilar información del usuario del archivo «/etc/passwd», abusando de los binarios Suid para una escalada de privilegios y borrando rastros de sí mismo después de la ejecución.
«Explota la moderna interfaz de E/S asíncrona del kernel de Linux, Io_uring, para minimizar la dependencia de las llamadas del sistema convencionales que las herramientas de seguridad con frecuencia monitorean o ganconan», dijo Picus.
