Los investigadores de ciberseguridad han arrojado luz sobre una nueva cadena de ataque que emplea correos electrónicos de phishing para entregar una puerta trasera de código abierto llamada Vshell. La «cadena de infección de malware específica de Linux que comienza con un correo electrónico spam con un archivo de archivo rar malicioso», dijo el investigador de Trellix Sagar Bade en una redacción técnica. «La carga útil no está oculta dentro del contenido del archivo o en una macro, está codificada directamente en el nombre de archivo en sí. Mediante el uso inteligente de la inyección de comando de shell y las cargas de bash codificadas en Base64, el atacante convierte una simple operación de listado de archivos en un desencadenante automático de ejecución de ejecución de malware». La técnica, agregada la compañía de seguridad cibernética, aprovecha un patrón simple pero peligroso comúnmente observado en los scripts de shell que surge cuando los nombres de archivos se evalúan con desinfección inadecuada, lo que provoca un comando trivial como Eval o Echo para facilitar la ejecución del código arbitrario. Además, la técnica ofrece la ventaja adicional de evitar las defensas tradicionales, ya que los motores antivirus generalmente no escanean los nombres de archivos. El punto de partida del ataque es un mensaje de correo electrónico que contiene un archivo RAR, que incluye un archivo con un nombre de archivo malicioso: «Ziliao2.pdf` {Echo,} | {Base64, -d} | Bash` «Específicamente, el nombre del archivo incorpora un código compatible con Bash que está diseñado para ejecutar comandos cuando el shell interpreta el shell. Vale la pena señalar que simplemente extraer el archivo del archivo no realiza la ejecución. Sintaxis, lo que significa que se creó con otro lenguaje o se soltó utilizando una herramienta o script externo que omite la validación de la entrada de shell, dijo Trellix. Parte, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil de Vshell cifrada, decodificar y ejecutarla en el host del host. Instruir explícitamente al usuario que lo abra o extraiga «, explicó Bade.» El ángulo de ingeniería social es sutil: el usuario se distrae con el contenido de la encuesta, y la presencia del archivo adjunto podría confundirse con un documento relacionado con la encuesta o el archivo de datos. C2 Communications. abusa del entorno de ejecución permisiva de Linux y, en última instancia, ofrece un potente malware Vshell Vshell capaz de control remoto completo sobre el sistema. «El desarrollo se produce cuando PICUS Security lanzó un análisis técnico de una parte posterior a la explotación centrada en Linux denominado que la herramienta de monitoreo de Linux se denomina que se acomoda el marco de los estandarias de Linux. como Read, Write, Recv, Send o Connect, Ringreaper emplea io_uringprimitives (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de forma asincrónica, «el investigador de seguridad Sıla özeren Hacıoğlu dijo». Este método ayuda a los mecanismos basados ​​en el anzuelo y reduce la visibilidad de la actividad maliciosa en la Telemetría en la telemetría de la telemetría. Ringreaper utiliza las sesiones de pseudo-terminal activa (PTS), las conexiones de red y los usuarios de inicio de sesión, al tiempo que reducen su huella y evita la detección de la detección de la detección de los binte de la entrega. La moderna interfaz de E/S asíncrona del kernel de Linux, IO_uring, para minimizar la dependencia de las llamadas del sistema convencionales que las herramientas de seguridad con frecuencia monitorean o ganconan «, dijo Picus.