Los investigadores en ciberseguridad han revelado una nueva cadena de ataque que utiliza correos electrónicos de phishing para distribuir una puerta trasera de código abierto conocida como VShell.
De acuerdo con el especialista de Trellix, Sagar Bade, la campaña comienza con un correo electrónico de spam que contiene un archivo RAR malicioso. A diferencia de otros métodos, la carga útil no está oculta en macros ni en el contenido del archivo, sino que se encuentra codificada directamente en el nombre del archivo.
Mediante técnicas de inyección de comandos de shell y cargas útiles en Bash codificadas en Base64, los atacantes logran transformar una simple acción —como listar los archivos— en el desencadenante automático de la ejecución de malware. Según Trellix, este patrón se aprovecha de una debilidad común en los scripts de shell: la falta de sanitización en los nombres de archivo, que permite que comandos triviales como echo o eval se conviertan en puertas de entrada para ejecutar código arbitrario.
Lo más preocupante es que esta técnica evita con facilidad las defensas tradicionales, ya que los motores antivirus no suelen analizar los nombres de archivo.
El ataque se inicia con un correo de phishing que contiene un archivo adjunto en formato RAR. Dentro se incluye un archivo con un nombre creado con fines maliciosos, por ejemplo:
ziliao2.pdf{echo,<Base64-encoded command>}|{base64,-d}|bash
Este nombre incorpora fragmentos compatibles con Bash diseñados para ejecutar comandos cuando son interpretados por el shell. Cabe subrayar que la extracción del archivo por sí sola no activa el malware: la ejecución solo ocurre si un script o comando intenta analizar el nombre.
Trellix advierte además que no es posible crear manualmente este tipo de nombres de archivo, lo que indica que fueron generados mediante un lenguaje de programación o herramientas externas que evaden la validación del shell.
El proceso finalmente conduce a la ejecución de un descargador en Base64, que obtiene desde un servidor remoto un binario ELF adaptado a la arquitectura de la máquina (x86_64, i386, i686, armv7l o aarch64). Ese binario establece comunicación con un servidor de comando y control (C2), descarga la puerta trasera cifrada VShell, la decodifica y la ejecuta en el sistema comprometido.
Los correos de phishing que distribuyen este malware se disfrazan como una invitación a participar en una encuesta de productos de belleza, ofreciendo una recompensa de 10 RMB por completarla. Aunque incluyen un archivo adjunto llamado yy.rar, el mensaje no solicita explícitamente abrirlo, lo que hace que el archivo pueda parecer inofensivo o relacionado con la encuesta.
VShell, escrito en Go, es una conocida herramienta de acceso remoto que ha sido utilizada en los últimos años por grupos de hackers chinos como UNC5174. Sus capacidades incluyen shell inverso, gestión de archivos y procesos, reenvío de puertos y comunicación cifrada con el C2. El hecho de que opere directamente en memoria, sin dejar rastros en disco, aumenta significativamente su peligrosidad y dificulta la detección.
Este hallazgo refleja una evolución alarmante en la distribución de malware para Linux: ahora, un simple nombre de archivo puede convertirse en un vector de ejecución de comandos arbitrarios.
En paralelo, Picus Security presentó un análisis técnico de RingReaper, una herramienta de post-explotación para Linux que aprovecha el framework io_uring del kernel para eludir los sistemas de monitoreo convencionales.
Según la investigadora Sıla Özeren Hacıoğlu, RingReaper reemplaza las llamadas estándar al sistema (como leer, escribir o conectar) por primitivas io_uring_prep_ que permiten ejecutar esas operaciones de forma asíncrona. Este enfoque reduce la visibilidad de la actividad maliciosa en la telemetría recolectada por soluciones EDR y evita los mecanismos de detección basados en hooks.
RingReaper puede enumerar procesos, sesiones activas de pseudoterminal, conexiones de red y usuarios en el sistema. También es capaz de leer el archivo /etc/passwd, aprovechar binarios SUID para escalar privilegios y borrar sus rastros tras la ejecución.
En resumen, tanto VShell como RingReaper demuestran cómo los atacantes están perfeccionando sus técnicas para aprovechar debilidades en Linux, combinando métodos de distribución ingeniosos con tácticas avanzadas de evasión que dificultan enormemente la detección.
https://thehackernews[.]com
