Negli ultimi tempi, il panorama della sicurezza informatica su Linux sta affrontando nuove minacce sempre più sofisticate. Un recente attacco sfrutta una catena di infezione che parte da email di phishing contenenti archivi RAR malevoli, mirati specificamente agli utenti Linux. Queste email veicolano un malware open source chiamato VShell, progettato per eludere facilmente la rilevazione da parte dei tradizionali antivirus.

Tecnica di attacco e peculiarità

L’aspetto più peculiare e insidioso di questa campagna è la tecnica utilizzata: il payload malevolo non si trova nel contenuto del file o in una macro, ma è codificato direttamente all’interno del nome del file incluso nell’archivio RAR. Utilizzando la codifica Base64 e l’iniezione di comandi shell, i cybercriminali trasformano una semplice operazione di lista file in un trigger automatico per l’esecuzione del malware. Questa tecnica sfrutta la scarsa igienizzazione dei nomi file in molti script e comandi shell, portando all’esecuzione arbitraria di codice quando si usano comandi come eval o echo senza controllo sui parametri ricevuti.

Fasi della catena di attacco

Il punto di partenza di questa catena di attacco è una email che include un archivio RAR. All’interno si trova un file con un nome apparentemente innocuo, ma che in realtà contiene istruzioni bash codificate da eseguire se processate da uno script shell. L’esecuzione non avviene al semplice estrarre il file, ma solo quando uno script o comando shell tenta di interpretare il nome del file. Questo trucco consente di aggirare molte soluzioni di sicurezza, poiché i motori antivirus normalmente non analizzano i nomi dei file alla ricerca di codice malevolo.

Funzionamento del malware

Il malware, una volta attivato, scarica un downloader codificato in Base64 che recupera da un server remoto un binario ELF adatto all’architettura del sistema (x86_64, i386, armv7l, ecc). Il binario si collega poi a un server di comando e controllo per ricevere il payload VShell, che viene decodificato ed eseguito in memoria, evitando ogni controllo su disco. Questo rende l’attacco particolarmente difficile da intercettare.

Social engineering e capacità del malware

Le email di phishing sono camuffate da sondaggi con ricompensa, aumentando le probabilità di apertura da parte della vittima. VShell, scritto in Go, offre agli attaccanti pieno controllo remoto del sistema infetto, inclusa la gestione di file, processi e comunicazioni criptate.

Implicazioni per la sicurezza

Questa evoluzione degli attacchi su Linux sottolinea l’importanza di un’attenta gestione della sicurezza degli script e dei processi di automazione, e dimostra come anche piccoli dettagli, come un nome file, possano essere sfruttati per compromettere un intero sistema.