Redazione RHC : 24 agosto 2025 08:22
Investigadores de Trellix han descubierto un patrón de ataque inusual en Linux, en el que el elemento clave no es un archivo adjunto con contenido malicioso, sino el nombre del archivo dentro del propio archivo. La campaña comienza con una campaña masiva de correo electrónico diseñada como una invitación a participar en una encuesta de cosméticos, con la promesa de un bono en efectivo.
La peculiaridad de este ataque es que el código malicioso se incrusta directamente en el nombre del archivo, no en su contenido. Al intentar procesar dicho nombre con scripts inseguros, se inyectan comandos. El truco funciona gracias a una vulnerabilidad en el uso de construcciones de shell como eval o echo sin el filtrado adecuado. Las soluciones antivirus no suelen analizar los nombres de los archivos, lo que hace que este método sea particularmente insidioso.
Para ejecutar código malicioso, simplemente extraer un archivo de un archivo comprimido no es suficiente. El peligro surge cuando el shell o un script automatizado intenta analizar el nombre del archivo. A continuación, se extrae de la cadena un cargador codificado en Base64, que descarga y ejecuta un binario ELF para la arquitectura del sistema correspondiente, ya sea x86_64, i386, i686, armv7l o aarch64. El módulo cargado contacta con el servidor de control, recibe la puerta trasera VShell cifrada, la descifra y la ejecuta en RAM. VShell es una herramienta de administración remota basada en Go, utilizada activamente por grupos chinos, incluyendo UNC5174. Admite shell inverso, gestión de archivos, gestión de procesos, reenvío de puertos y comunicación cifrada con el servidor de C&C. El programa se ejecuta completamente en memoria, sin dejar rastros en el disco, lo que dificulta considerablemente la detección. Otra amenaza es la capacidad de infectar una amplia gama de dispositivos Linux. Trellix enfatiza que la técnica para crear dichos nombres es imposible de realizar manualmente: se utilizan herramientas o scripts externos para eludir la comprobación de entrada estándar en el shell. Esto indica una infraestructura de ataque bien preparada.
Paralelamente, Picus Security presentó un análisis de la nueva herramienta de postexplotación RingReaper, que utiliza el mecanismo de entrada/salida asíncrona io_uring en el kernel de Linux.
A diferencia de las llamadas estándar de lectura, escritura, envío y conexión, este método se basa en primitivas asíncronas, lo que le permite eludir las herramientas de monitorización que se basan en la interceptación de funciones del sistema. RingReaper puede recopilar información sobre procesos, sesiones, conexiones de red y usuarios, obtener datos de /etc/passwd, usar binarios SUID para escalar privilegios y borrar rastros de su actividad.
Ambos desarrollos demuestran la rápida evolución de los métodos de ataque de Linux, desde la explotación de nombres de archivo en archivos comprimidos hasta la explotación sigilosa de funciones de bajo nivel del kernel. También demuestran que las defensas tradicionales son cada vez más ineficaces contra los nuevos enfoques de camuflaje y despliegue.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
