Redazione RHC : 24 agosto 2025 08:22
Investigadores de Trellix han descubierto un patrón de ataque inusual en Linux, en el que el elemento clave no es un archivo adjunto con contenido malicioso, sino el nombre del archivo dentro del propio archivo. La campaña comienza con una campaña masiva de correo electrónico diseñada como una invitación a participar en una encuesta de cosméticos, con la promesa de un bono en efectivo.
La peculiaridad de este ataque es que el código malicioso se incrusta directamente en el nombre del archivo, no en su contenido. Al intentar procesar dicho nombre con scripts inseguros, se inyectan comandos. El truco funciona gracias a una vulnerabilidad en el uso de construcciones de shell como eval o echo sin el filtrado adecuado. Las soluciones antivirus no suelen analizar los nombres de los archivos, lo que hace que este método sea particularmente insidioso.
Para ejecutar código malicioso, simplemente extraer un archivo de un archivo comprimido no es suficiente. El peligro surge cuando el shell o un script automatizado intenta analizar el nombre del archivo. A continuación, se extrae de la cadena un cargador codificado en Base64, que descarga y ejecuta un binario ELF para la arquitectura del sistema correspondiente, ya sea x86_64, i386, i686, armv7l o aarch64. El módulo cargado contacta con el servidor de control, recibe la puerta trasera VShell cifrada, la descifra y la ejecuta en RAM. VShell es una herramienta de administración remota basada en Go, utilizada activamente por grupos chinos, incluyendo UNC5174. Admite shell inverso, gestión de archivos, gestión de procesos, reenvío de puertos y comunicación cifrada con el servidor de C&C. El programa se ejecuta completamente en memoria, sin dejar rastros en el disco, lo que dificulta considerablemente la detección. Otra amenaza es la capacidad de infectar una amplia gama de dispositivos Linux. Trellix enfatiza que la técnica para crear dichos nombres es imposible de realizar manualmente: se utilizan herramientas o scripts externos para eludir la comprobación de entrada estándar en el shell. Esto indica una infraestructura de ataque bien preparada.
NIS2: diventa pronto alle nuove regole europeeLa Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua. Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Paralelamente, Picus Security presentó un análisis de la nueva herramienta de postexplotación RingReaper, que utiliza el mecanismo de entrada/salida asíncrona io_uring en el kernel de Linux.
A diferencia de las llamadas estándar de lectura, escritura, envío y conexión, este método se basa en primitivas asíncronas, lo que le permite eludir las herramientas de monitorización que se basan en la interceptación de funciones del sistema. RingReaper puede recopilar información sobre procesos, sesiones, conexiones de red y usuarios, obtener datos de /etc/passwd, usar binarios SUID para escalar privilegios y borrar rastros de su actividad.
Ambos desarrollos demuestran la rápida evolución de los métodos de ataque de Linux, desde la explotación de nombres de archivo en archivos comprimidos hasta la explotación sigilosa de funciones de bajo nivel del kernel. También demuestran que las defensas tradicionales son cada vez más ineficaces contra los nuevos enfoques de camuflaje y despliegue.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
