Ciberseguridad 360 | RAR malicioso instala malware en Linux

Los investigadores en ciberseguridad han sacado a la luz una nueva cadena de ataques que usa correos electr�nicos de phishing para instalar una puerta trasera de c�digo abierto llamada VShell.

"La cadena de infecci�n de malware espec�fica para Linux que comienza con un correo electr�nico no deseado con un archivo RAR malicioso", afirm� el investigador de Trellix, Sagar Bade, en un informe t�cnico.

"La carga �til no est� oculta dentro del contenido del archivo ni en una macro, sino que est� codificada directamente en el propio nombre del archivo. Mediante el uso inteligente de la inyecci�n de comandos de shell y cargas �tiles Bash codificadas en Base64, el atacante convierte una simple operaci�n de listado de archivos en un desencadenante autom�tico de la ejecuci�n de malware".

La t�cnica, a�adi� la empresa de ciberseguridad, aprovecha un patr�n sencillo pero peligroso que se observa com�nmente en los scripts de shell y que surge cuando los nombres de los archivos se eval�an con una desinfecci�n inadecuada, lo que provoca que un comando trivial como eval o echo facilite la ejecuci�n de c�digo arbitrario.

Adem�s, esta t�cnica ofrece la ventaja a�adida de eludir las defensas tradicionales, ya que los antivirus no suelen analizar los nombres de los archivos.

El punto de partida del ataque es un mensaje de correo electr�nico que contiene un archivo RAR, que a su vez incluye un archivo con un nombre malicioso: "ziliao2.pdf`{echo,<comando codificado en Base64>}|{base64,-d}|bash`".

Concretamente, el nombre del archivo incorpora c�digo compatible con Bash dise�ado para ejecutar comandos cuando es interpretado por el shell. Cabe se�alar que el simple hecho de extraer el archivo del archivo comprimido no activa la ejecuci�n. M�s bien, esta solo se produce cuando un script o comando del shell intenta analizar el nombre del archivo.

Otro aspecto importante a tener en cuenta aqu� es que no es posible crear manualmente un nombre de archivo con esta sintaxis, lo que significa que probablemente se cre� utilizando otro lenguaje o se insert� mediante una herramienta externa o un script que elude la validaci�n de entrada del shell, seg�n Trellix.

Esto, a su vez, conduce a la ejecuci�n de un descargador incrustado codificado en Base64, que luego recupera de un servidor externo un binario ELF para la arquitectura del sistema adecuada (x86_64, i386, i686, armv7l o aarch64). El binario, por su parte, inicia la comunicaci�n con un servidor de comando y control (C2) para obtener la carga �til cifrada de VShell, descodificarla y ejecutarla en el host.

Trellix afirm� que los correos electr�nicos de phishing se disfrazan como una invitaci�n a participar en una encuesta sobre productos de belleza, atrayendo a los destinatarios con una recompensa econ�mica (10 RMB) por completarla.

"Es fundamental destacar que el correo electr�nico incluye un archivo adjunto RAR ("yy.rar"), aunque no indica expl�citamente al usuario que lo abra o extraiga", explic� Bade. "El enfoque de ingenier�a social es sutil: el usuario se distrae con el contenido de la encuesta y la presencia del archivo adjunto puede confundirse con un documento o archivo de datos relacionado con la encuesta".

VShell es una herramienta de acceso remoto basada en Go que ha sido ampliamente utilizada por grupos de hackers chinos en los �ltimos a�os, incluido UNC5174, y que admite shell inverso, operaciones de archivos, gesti�n de procesos, reenv�o de puertos y comunicaciones C2 cifradas.

Lo que hace que este ataque sea peligroso es que el malware opera �ntegramente en memoria, evitando la detecci�n basada en disco, por no mencionar que puede atacar a una amplia gama de dispositivos Linux.

"Este an�lisis pone de relieve una peligrosa evoluci�n en la distribuci�n de malware para Linux, en la que un simple nombre de archivo incrustado en un archivo RAR puede convertirse en un arma para ejecutar comandos arbitrarios", afirma Trellix. "La cadena de infecci�n aprovecha la inyecci�n de comandos en bucles de shell, abusa del entorno de ejecuci�n permisivo de Linux y, en �ltima instancia, distribuye un potente malware VShell de puerta trasera capaz de controlar totalmente el sistema de forma remota".

El desarrollo se produce despu�s de que Picus Security publicara un an�lisis t�cnico de una herramienta post-exploit centrada en Linux denominada RingReaper, que aprovecha el marco io_uring del kernel de Linux para eludir las herramientas de supervisi�n tradicionales. Por el momento se desconoce qui�n est� detr�s del malware.

"En lugar de invocar funciones est�ndar como read, write, recv, send o connect, RingReaper emplea io_uringprimitives (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de forma as�ncrona", explica la investigadora de seguridad S?la �zeren Hac?o?lu. "Este m�todo ayuda a eludir los mecanismos de detecci�n basados en ganchos y reduce la visibilidad de la actividad maliciosa en la telemetr�a que suelen recopilar las plataformas EDR".

RingReaper utiliza io_uring para enumerar los procesos del sistema, las sesiones de pseudoterminal (PTS) activas, las conexiones de red y los usuarios conectados, al tiempo que reduce su huella y evita la detecci�n. Tambi�n es capaz de recopilar informaci�n de los usuarios del archivo "/etc/passwd", abusar de los binarios SUID para escalar privilegios y borrar sus huellas tras la ejecuci�n.

"Aprovecha la moderna interfaz de E/S as�ncrona del kernel de Linux, io_uring, para minimizar la dependencia de las llamadas al sistema convencionales que las herramientas de seguridad suelen supervisar o interceptar", explic� Picus.

Fuente: thehackernews