Redazione RHC : 24 Agosto 2025 08:17
I ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno dell’archivio stesso. La campagna inizia con un invio di massa di email progettate come invito a partecipare a un sondaggio sui cosmetici con la promessa di un bonus in denaro.
La particolarità di questo attacco è che il codice dannoso è incorporato direttamente nel nome del file, non nel suo contenuto. Quando si tenta di elaborare un nome del genere con script non sicuri, vengono iniettati dei comandi. Il trucco funziona grazie alla vulnerabilità nell’utilizzo di costrutti shell come eval o echo senza un filtro adeguato. Le soluzioni antivirus di solito non analizzano i nomi dei file, il che rende questo metodo particolarmente insidioso.
Per lanciare codice dannoso, non è sufficiente estrarre semplicemente un file da un archivio. Il pericolo si verifica quando la shell o uno script automatico tenta di analizzarne il nome. Quindi, dalla stringa viene estratto un loader codificato in Base64, che scarica e avvia un binario ELF per l’architettura di sistema corrispondente, che sia x86_64, i386, i686, armv7l o aarch64. Il modulo caricato contatta il server di controllo, riceve la backdoor VShell crittografata, la decrittografa e la esegue nella RAM.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
VShell è uno strumento di amministrazione remota basato su Go, utilizzato attivamente da gruppi cinesi, tra cui UNC5174. Supporta reverse shell, gestione dei file, gestione dei processi, port forwarding e comunicazione crittografata con il server C&C. Il programma viene eseguito interamente in memoria, senza lasciare tracce sul disco, il che ne complica notevolmente il rilevamento. Un’altra minaccia è la capacità di infettare un’ampia gamma di dispositivi Linux.
Trellix sottolinea che la tecnica di creazione di tali nomi è impossibile da eseguire manualmente: vengono utilizzati strumenti o script esterni per bypassare il controllo di input standard nella shell. Questo indica un’infrastruttura di attacco ben preparata.
Parallelamente, Picus Security ha presentato un’analisi del nuovo strumento di post-sfruttamento RingReaper, che utilizza il meccanismo di input/output asincrono io_uring nel kernel Linux.
A differenza delle chiamate standard di lettura, scrittura, invio e connessione, questo metodo si basa su primitive asincrone, che gli consentono di bypassare gli strumenti di monitoraggio basati sull’intercettazione delle funzioni di sistema. RingReaper è in grado di raccogliere informazioni su processi, sessioni, connessioni di rete e utenti, ottenere dati da /etc/passwd, utilizzare binari SUID per aumentare i privilegi e cancellare le tracce della sua attività.
Entrambi gli sviluppi dimostrano la rapida evoluzione dei metodi di attacco Linux, dallo sfruttamento dei nomi dei file negli archivi all’utilizzo occulto di funzioni kernel di basso livello. Dimostrano inoltre che le difese tradizionali si stanno rivelando sempre più inefficaci contro i nuovi approcci di mimetizzazione e implementazione.
RedazioneUn impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
Una vulnerabilità critica, CVE-2025-9501, è stata scoperta nel popolare plugin WordPress W3 Total Cache Questa vulnerabilità consente l’esecuzione di comandi PHP arbitrari sul server senza autent...
Il Consiglio Supremo di Difesa, si è riunito recentemente al Quirinale sotto la guida del Presidente Sergio Mattarella, ha posto al centro della discussione l’evoluzione delle minacce ibride e digi...
Esattamente 40 anni fa, il 20 novembre 1985, Microsoft rilasciò Windows 1.0, la prima versione di Windows, che tentò di trasformare l’allora personal computer da una macchina con una monotona riga...
Oggi ricorre la Giornata Mondiale dell’Infanzia, fissata dall’ONU il 20 novembre per ricordare due atti fondamentali: la Dichiarazione dei Diritti del Fanciullo del 1959 e, trent’anni dopo, la C...
