Redazione RHC : 24 Agosto 2025 08:17
I ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno dell’archivio stesso. La campagna inizia con un invio di massa di email progettate come invito a partecipare a un sondaggio sui cosmetici con la promessa di un bonus in denaro.
La particolarità di questo attacco è che il codice dannoso è incorporato direttamente nel nome del file, non nel suo contenuto. Quando si tenta di elaborare un nome del genere con script non sicuri, vengono iniettati dei comandi. Il trucco funziona grazie alla vulnerabilità nell’utilizzo di costrutti shell come eval o echo senza un filtro adeguato. Le soluzioni antivirus di solito non analizzano i nomi dei file, il che rende questo metodo particolarmente insidioso.
Per lanciare codice dannoso, non è sufficiente estrarre semplicemente un file da un archivio. Il pericolo si verifica quando la shell o uno script automatico tenta di analizzarne il nome. Quindi, dalla stringa viene estratto un loader codificato in Base64, che scarica e avvia un binario ELF per l’architettura di sistema corrispondente, che sia x86_64, i386, i686, armv7l o aarch64. Il modulo caricato contatta il server di controllo, riceve la backdoor VShell crittografata, la decrittografa e la esegue nella RAM.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
VShell è uno strumento di amministrazione remota basato su Go, utilizzato attivamente da gruppi cinesi, tra cui UNC5174. Supporta reverse shell, gestione dei file, gestione dei processi, port forwarding e comunicazione crittografata con il server C&C. Il programma viene eseguito interamente in memoria, senza lasciare tracce sul disco, il che ne complica notevolmente il rilevamento. Un’altra minaccia è la capacità di infettare un’ampia gamma di dispositivi Linux.
Trellix sottolinea che la tecnica di creazione di tali nomi è impossibile da eseguire manualmente: vengono utilizzati strumenti o script esterni per bypassare il controllo di input standard nella shell. Questo indica un’infrastruttura di attacco ben preparata.
Parallelamente, Picus Security ha presentato un’analisi del nuovo strumento di post-sfruttamento RingReaper, che utilizza il meccanismo di input/output asincrono io_uring nel kernel Linux.
A differenza delle chiamate standard di lettura, scrittura, invio e connessione, questo metodo si basa su primitive asincrone, che gli consentono di bypassare gli strumenti di monitoraggio basati sull’intercettazione delle funzioni di sistema. RingReaper è in grado di raccogliere informazioni su processi, sessioni, connessioni di rete e utenti, ottenere dati da /etc/passwd, utilizzare binari SUID per aumentare i privilegi e cancellare le tracce della sua attività.
Entrambi gli sviluppi dimostrano la rapida evoluzione dei metodi di attacco Linux, dallo sfruttamento dei nomi dei file negli archivi all’utilizzo occulto di funzioni kernel di basso livello. Dimostrano inoltre che le difese tradizionali si stanno rivelando sempre più inefficaci contro i nuovi approcci di mimetizzazione e implementazione.
RedazioneI ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno del...
La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...
Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...
Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...
Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...
