Redazione RHC : 24 agosto 2025 08:22
Investigadores de Trellix han descubierto un patrón de ataque inusual en Linux, en el que el elemento clave no es un archivo adjunto con contenido malicioso, sino el nombre del archivo dentro del propio archivo. La campaña comienza con una campaña masiva de correo electrónico diseñada como una invitación a participar en una encuesta de cosméticos, con la promesa de un bono en efectivo.
La peculiaridad de este ataque es que el código malicioso se incrusta directamente en el nombre del archivo, no en su contenido. Al intentar procesar dicho nombre con scripts inseguros, se inyectan comandos. El truco funciona gracias a una vulnerabilidad en el uso de construcciones de shell como eval o echo sin el filtrado adecuado. Las soluciones antivirus no suelen analizar los nombres de los archivos, lo que hace que este método sea particularmente insidioso.
Para ejecutar código malicioso, simplemente extraer un archivo de un archivo comprimido no es suficiente. El peligro surge cuando el shell o un script automatizado intenta analizar el nombre del archivo. A continuación, se extrae de la cadena un cargador codificado en Base64, que descarga y ejecuta un binario ELF para la arquitectura del sistema correspondiente, ya sea x86_64, i386, i686, armv7l o aarch64. El módulo cargado contacta con el servidor de control, recibe la puerta trasera VShell cifrada, la descifra y la ejecuta en RAM. VShell es una herramienta de administración remota basada en Go, utilizada activamente por grupos chinos, incluyendo UNC5174. Admite shell inverso, gestión de archivos, gestión de procesos, reenvío de puertos y comunicación cifrada con el servidor de C&C. El programa se ejecuta completamente en memoria, sin dejar rastros en el disco, lo que dificulta considerablemente la detección. Otra amenaza es la capacidad de infectar una amplia gama de dispositivos Linux. Trellix enfatiza que la técnica para crear dichos nombres es imposible de realizar manualmente: se utilizan herramientas o scripts externos para eludir la comprobación de entrada estándar en el shell. Esto indica una infraestructura de ataque bien preparada.
Paralelamente, Picus Security presentó un análisis de la nueva herramienta de postexplotación RingReaper, que utiliza el mecanismo de entrada/salida asíncrona io_uring en el kernel de Linux.
A diferencia de las llamadas estándar de lectura, escritura, envío y conexión, este método se basa en primitivas asíncronas, lo que le permite eludir las herramientas de monitorización que se basan en la interceptación de funciones del sistema. RingReaper puede recopilar información sobre procesos, sesiones, conexiones de red y usuarios, obtener datos de /etc/passwd, usar binarios SUID para escalar privilegios y borrar rastros de su actividad.
Ambos desarrollos demuestran la rápida evolución de los métodos de ataque de Linux, desde la explotación de nombres de archivo en archivos comprimidos hasta la explotación sigilosa de funciones de bajo nivel del kernel. También demuestran que las defensas tradicionales son cada vez más ineficaces contra los nuevos enfoques de camuflaje y despliegue.
RedazioneEl panorama de la ciberseguridad se vio sacudido recientemente por el descubrimiento de una vulnerabilidad crítica de ejecución remota de código (RCE) en los servicios de actualización de Windows ...
Investigadores de NeuralTrust han descubierto una vulnerabilidad en el navegador ChatGPT Atlas de OpenAI. En esta ocasión, el vector de ataque se encuentra en la barra de direcciones, donde los usuar...
El 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
