Los investigadores de ciberseguridad han arrojado luz sobre una nueva esclavitud de ataque que emplea correos electrónicos de phishing para entregar una puerta trasera de código rajado llamado Vshell.
La “esclavitud de infección de malware específica de Linux que comienza con un correo electrónico spam con un archivo de archivo rar bellaco”, dijo el investigador de Trellix Sagar Bade en una redacción técnica.
“La carga útil no está oculta internamente del contenido del archivo o en una macro, está codificada directamente en el nombre de archivo en sí. Mediante el uso inteligente de la inyección de comando de shell y las cargas de bash codificadas en Base64, el atacante convierte una simple operación de lista de archivos en un desencadenante obligatorio de ejecución de ejecución de malware”.
La técnica, agregada la compañía de seguridad cibernética, aprovecha un patrón simple pero peligroso comúnmente observado en los scripts de shell que surge cuando los nombres de archivos se evalúan con desinfección inadecuada, lo que provoca un comando trivial como Eval o Echo para proveer la ejecución del código injusto.
Encima, la técnica ofrece la preeminencia adicional de evitar las defensas tradicionales, ya que los motores antivirus generalmente no escanean los nombres de archivos.
El punto de partida del ataque es un mensaje de correo electrónico que contiene un archivo RAR, que incluye un archivo con un nombre de archivo bellaco: “Ziliao2.pdf` {Echo,
Específicamente, el nombre del archivo incorpora un código compatible con BASH que está diseñado para ejecutar comandos cuando el shell lo interpreta. Vale la pena señalar que simplemente extraer el archivo del archivo no activa la ejecución. Más acertadamente, ocurre solo cuando un script o comando de shell intenta analizar el nombre del archivo.
Otro aspecto importante a considerar aquí es que no es posible crear manualmente un nombre de archivo con esta sintaxis, lo que significa que probablemente se creó usando otro idioma o se dejó caer usando una útil externa o script que evita la energía de entrada de shell, dijo Trellix.
Esto, a su vez, lleva a la ejecución de un descargador codificado Base64 incrustado, que luego recupera de un servidor extranjero un binario ELF para la casa del sistema apropiada (x86_64, i386, i686, Armv7l o Aarch64). El binario, por su parte, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil Vshell cifrada, decodificar y ejecutarla en el host.
Trellix dijo que los correos electrónicos de phishing están disfrazados como una invitación para una investigación de productos de belleza, atrayendo a los destinatarios con una remuneración monetaria (10 RMB) por completarla.
“Crucialmente, el correo electrónico incluye un archivo adjunto de archivo RAR (‘yy.rar’), a pesar de que no instruye explícitamente al legatario que lo ensenada o extraiga”, explicó Bade. “El ángulo de ingeniería social es sutil: el legatario se distrae con el contenido de la investigación, y la presencia del archivo adjunto podría confundirse con un documento o archivo de datos relacionado con la investigación”.
Vshell es una útil de golpe remoto basada en GO que los grupos de piratería chinos utilizaron ampliamente en los últimos primaveras, incluida UNC5174, que admite Shell inverso, operaciones de archivos, gobierno de procesos, reenvío de puertos y comunicaciones C2 cifradas.
Lo que hace que este ataque sea peligroso es que el malware opera completamente en memoria, evitando la detección basada en disco, sin mencionar que puede apuntar a una amplia viso de dispositivos Linux.
“Este investigación destaca una crecimiento peligrosa en la entrega de malware de Linux, donde un simple nombre de archivo integrado en un archivo de RAR puede ser armado para ejecutar comandos arbitrarios”, dijo Trellix. “La esclavitud de infección explota la inyección de comando en bucles de shell, abusa del entorno de ejecución permisiva de Linux y, en última instancia, ofrece un potente malware Vshell Vshell capaz de control remoto completo sobre el sistema”.
El avance se produce cuando PICUS Security lanzó un investigación técnico de una útil posterior al usufructuario centrada en Linux denominado RingreAper que aprovecha el entorno Io_uring del kernel de Linux para eludir las herramientas de monitoreo tradicionales. Actualmente no se sabe quién está detrás del malware.
“En ocasión de invocar funciones típico, como repasar, escribir, escribir, remitir o conectar, ringreAper emplea io_uringprimitives (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de guisa asincrónica”, dijo el investigador de seguridad Sıla özeren Hacıoğlu. “Este método ayuda a evitar los mecanismos de detección basados en garfio y reduce la visibilidad de la actividad maliciosa en la telemetría comúnmente reunida por las plataformas EDR”.
RingreAper utiliza io_uring para enumerar los procesos del sistema, las sesiones pseudo-terminales activas (PTS), las conexiones de red y los usuarios iniciados, al tiempo que reducen su huella y evitan la detección. Además es capaz de compilar información del legatario del archivo “/etc/passwd”, abusando de los binarios Suid para una ascenso de privilegios y borrando rastros de sí mismo a posteriori de la ejecución.
“Explota la moderna interfaz de E/S asíncrona del kernel de Linux, Io_uring, para minimizar la dependencia de las llamadas del sistema convencionales que las herramientas de seguridad con frecuencia monitorean o ganconan”, dijo Picus.
