La carga útil está codificada directamente en el nombre del archivo
Investigadores de ciberseguridad han descubierto una novedosa cadena de ataque que utiliza correos electrónicos de phishing para instalar una puerta trasera de código abierto llamada VShell.
La "cadena de infección de malware específica de Linux comienza con un correo electrónico spam con un archivo RAR malicioso", según explicó Sagar Bade, investigador de Trellix, en un informe técnico.
"La carga útil no está oculta en el contenido del archivo ni en una macro, sino que está codificada directamente en el nombre del archivo. Mediante el uso inteligente de la inyección de comandos de shell y cargas útiles de Bash codificadas en Base64, el atacante convierte una simple operación de listado de archivos en un desencadenador automático de ejecución de malware".
La técnica, agregó la compañía de ciberseguridad, aprovecha un simple pero peligroso patrón que se observa comúnmente en scripts de shell y que surge cuando los nombres de archivos se evalúan con una desinfección inadecuada, lo que provoca que un comando trivial como eval o echo facilite la ejecución de código arbitrario.
Es más, la técnica ofrece la ventaja añadida de eludir las defensas tradicionales, ya que los motores antivirus normalmente no escanean los nombres de los archivos.
El punto de partida del ataque es un mensaje de correo electrónico que contiene un archivo RAR, que incluye un archivo con un nombre creado con fines maliciosos: "ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`"
En concreto, el nombre del archivo incorpora código compatible con Bash, diseñado para ejecutar comandos al ser interpretado por el shell. Cabe destacar que la simple extracción del archivo no activa la ejecución. En realidad, solo ocurre cuando un script o comando del shell intenta analizar el nombre del archivo.
Otro importante aspecto a considerar aquí es que no es posible crear manualmente un nombre de archivo con esta sintaxis, lo que significa que probablemente se creó usando otro lenguaje o se eliminó usando una herramienta externa o un script que pasa por alto la validación de entrada del shell, dijo Trellix.
Esto, a su vez, lleva a la ejecución de un descargador integrado codificado en Base64, que recupera de un servidor externo un binario ELF para la arquitectura de sistema correspondiente (x86_64, i386, i686, armv7l o aarch64). El binario, a su vez, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil cifrada de VShell, decodificarla y ejecutarla en el host.
Trellix dijo que los correos electrónicos de phishing están disfrazados como una invitación a una encuesta sobre productos de belleza, atrayendo a los destinatarios con una recompensa monetaria (10 RMB) por completarla.
"Cabe destacar que el correo electrónico incluye un archivo RAR adjunto ('yy.rar'), aunque no indica explícitamente al usuario que lo abra o lo extraiga", explicó Bade. "El enfoque de ingeniería social es sutil: el usuario se distrae con el contenido de la encuesta, y la presencia del archivo adjunto podría confundirse con un documento o archivo de datos relacionado con la encuesta".
VShell es una herramienta de acceso remoto basada en Go que ha sido ampliamente utilizada por grupos de piratas informáticos chinos en los últimos años, incluido UNC5174, que admite shell inverso, operaciones de archivos, gestión de procesos, reenvío de puertos y comunicaciones C2 cifradas.
Lo que hace que este ataque sea peligroso es que el malware opera completamente en la memoria, evitando la detección basada en disco, sin mencionar que puede apuntar a una amplia gama de dispositivos Linux.
"Este análisis destaca una peligrosa evolución en la distribución de malware en Linux, donde un simple nombre de archivo incrustado en un archivo RAR puede utilizarse como arma para ejecutar comandos arbitrarios", afirmó Trellix. "La cadena de infección aprovecha la inyección de comandos en bucles de shell, abusa del entorno de ejecución permisivo de Linux y, en última instancia, distribuye un potente malware de puerta trasera VShell capaz de controlar remotamente el sistema".
