Investigadores en ciberseguridad han identificado una innovadora cadena de ataque que utiliza correos electrónicos de phishing para distribuir un backdoor de código abierto conocido como VShell, específicamente diseñado para sistemas Linux. Este malware es entregado a través de un archivo RAR malicioso, cuya ejecución no se basa en contenido oculto o macros, sino que está directamente codificado en el nombre del archivo.
La innovadora técnica de distribución de malware
La técnica empleada por los atacantes implica la inyección de comandos mediante nombres de archivos maliciosos. A través de un uso astuto de la inyección de comandos en shell y cargas útiles de Bash codificadas en Base64, el ataque convierte una operación trivial de listado de archivos en un desencadenador automático de ejecución de malware. Este enfoque contorneó las defensas tradicionales, ya que muchos antivirus no analizan los nombres de archivos, lo que permite que el software malicioso opere sin ser detectado.
El correo electrónico de phishing, disfrazado de invitación a una encuesta sobre productos de belleza, ofrece una recompensa monetaria, lo que distrae a los usuarios de la verdadera amenaza: el archivo adjunto malicioso. Al evaluar el nombre del archivo, se puede ejecutar código arbitrario, permitiendo que un binario ELF adicional sea descargado y ejecutado en el dispositivo afectado.
VShell, un herramienta de acceso remoto basada en Go, ha sido utilizada ampliamente por grupos de hackers en China, permitiendo el control total de sistemas Linux a través de comunicaciones encriptadas y operaciones de shell reversas. Además, se ha descubierto otra herramienta relacionada llamada RingReaper, que usa el marco io_uring del núcleo de Linux, lo que le permite eludir herramientas de monitoreo tradicionales y reducir la visibilidad de actividades maliciosas.
Este descubrimiento resalta una evolución peligrosa en la entrega de malware para Linux, donde un simple nombre de archivo puede ser utilizado para ejecutar comandos arbitrarios y, en última instancia, comprometer sistemas enteros.