Investigadores de ciberseguridad han descubierto una novedosa cadena de ataque que utiliza correos electrónicos de phishing para instalar una puerta trasera de código abierto llamada VShell.
«La cadena de infección de malware específica de Linux comienza con un correo electrónico spam con un archivo RAR malicioso», explicó Sagar Bade, investigador de Trellix, en un informe técnico.
«La carga útil no está oculta en el contenido del archivo ni en una macro, sino que está codificada directamente en el nombre del archivo. Mediante el uso inteligente de la inyección de comandos de shell y cargas útiles de Bash codificadas en Base64, el atacante convierte una simple operación de listado de archivos en un desencadenador automático de ejecución de malware».
La técnica, añadió la empresa de ciberseguridad, se aprovecha de un patrón simple pero peligroso, comúnmente observado en scripts de shell, que surge cuando los nombres de archivo se evalúan con una limpieza inadecuada, lo que provoca que un comando trivial como eval o echo facilite la ejecución de código arbitrario.
Además, la técnica ofrece la ventaja adicional de eludir las defensas tradicionales, ya que los motores antivirus no suelen analizar los nombres de archivo.
El punto de partida del ataque es un correo electrónico que contiene un archivo RAR, el cual incluye un archivo con un nombre malicioso: "ziliao2.pdf`{echo,}|{base64,-d}|bash`"
En concreto, el nombre del archivo incorpora código compatible con Bash, diseñado para ejecutar comandos al ser interpretado por el shell. Cabe destacar que la simple extracción del archivo no activa la ejecución. En realidad, solo ocurre cuando un script o comando del shell intenta analizar el nombre del archivo.
Otro aspecto importante a considerar es que no es posible crear manualmente un nombre de archivo con esta sintaxis, lo que significa que probablemente se creó con otro lenguaje o se eliminó mediante una herramienta o script externo que omite la validación de entrada del shell, según Trellix.
Esto, a su vez, lleva a la ejecución de un descargador integrado codificado en Base64, que recupera de un servidor externo un binario ELF para la arquitectura de sistema adecuada (x86_64, i386, i686, armv7l o aarch64). El binario, a su vez, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil cifrada de VShell, decodificarla y ejecutarla en el host.
Trellix afirmó que los correos electrónicos de phishing se disfrazan como una invitación a una encuesta sobre productos de belleza, que atrae a los destinatarios con una recompensa monetaria por completarla.
«Cabe destacar que el correo electrónico incluye un archivo adjunto RAR (‘yy.rar’), aunque no indica explícitamente al usuario que lo abra o lo extraiga. El enfoque de la ingeniería social es sutil: el usuario se distrae con el contenido de la encuesta, y la presencia del archivo adjunto podría confundirse con un documento o archivo de datos relacionado con la encuesta».
VShell es una herramienta de acceso remoto basada en Go que ha sido ampliamente utilizada por grupos chinos en los últimos años, incluyendo UNC5174. Esta herramienta admite shell inverso, operaciones con archivos, gestión de procesos, reenvío de puertos y comunicaciones C2 cifradas.
Lo que hace peligroso este ataque es que el malware opera completamente en memoria, evitando la detección en disco, además de que puede afectar a una amplia gama de dispositivos Linux.
«Este análisis destaca una peligrosa evolución en la distribución de malware para Linux, donde un simple nombre de archivo incrustado en un archivo RAR puede utilizarse como arma para ejecutar comandos arbitrarios», declaró Trellix. «La cadena de infección explota la inyección de comandos en bucles de shell, abusa del entorno de ejecución permisivo de Linux y, en última instancia, distribuye un potente malware VShell de puerta trasera capaz de controlar remotamente el sistema por completo».
Este desarrollo coincide con la publicación por parte de Picus Security de un análisis técnico de RingReaper, una herramienta post-exploit centrada en Linux que aprovecha el framework io_uring del kernel de Linux para eludir las herramientas de monitorización tradicionales. Actualmente se desconoce quién está detrás de este malware.
«En lugar de invocar funciones estándar como leer, escribir, recibir, enviar o conectar, RingReaper emplea primitivas io_uring (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de forma asíncrona», declaró el investigador de seguridad Sıla Özeren Hacıoğlu. «Este método ayuda a eludir los mecanismos de detección basados en ganchos y reduce la visibilidad de la actividad maliciosa en la telemetría que suelen recopilar las plataformas EDR».
RingReaper utiliza io_uring para enumerar procesos del sistema, sesiones activas de pseudoterminal (PTS), conexiones de red y usuarios conectados, a la vez que reduce su huella y evita ser detectado. También es capaz de recopilar información del usuario del archivo «/etc/passwd», abusar de los binarios SUID para la escalada de privilegios y borrar rastros de sí mismo tras su ejecución.
«Aprovecha la moderna interfaz de E/S asíncrona del kernel de Linux, io_uring, para minimizar la dependencia de las llamadas al sistema convencionales que las herramientas de seguridad monitorizan o interceptan con frecuencia», afirmó Picus.
Fuente y redacción: segu-info.com.ar