Acceder Suscribirse
1 min read

Nueva Cadena de Infección de Malware Linux – VShell & RingReaper

Nueva Cadena de Infección de Malware Linux – VShell & RingReaper
Photo by Gabriel Heinzer / Unsplash

Resumen

Se ha identificado una nueva técnica de infección dirigida a sistemas Linux, distribuida mediante campañas de phishing que adjuntan archivos RAR maliciosos. A diferencia de técnicas tradicionales, esta amenaza no requiere macros ni contenido oculto para su ejecución. El vector de ataque se basa en nombres de archivos manipulados, diseñados para ejecutar código malicioso si son procesados de manera insegura por scripts o comandos de administración.

El malware principal detectado, denominado VShell, permite control remoto, gestión de archivos y procesos, y comunicación cifrada con servidores de comando y control. Además, se observó el uso de la herramienta RingReaper, que explota la interfaz io_uring del kernel Linux para evadir mecanismos de seguridad y eliminar rastros de su ejecución.

Detalles técnicos

  • Vector de infección:
    Archivos RAR que contienen nombres de archivo con comandos Bash codificados en Base64.
    La ejecución ocurre únicamente si el nombre del archivo es procesado automáticamente por un script inseguro, no al ser extraído manualmente.
  • Malware identificado:
    • VShell: backdoor con capacidades de control remoto, manipulación de archivos/procesos y comunicación cifrada con C2.
    • RingReaper: herramienta de evasión que abusa de io_uring en Linux para ocultar la actividad maliciosa y borrar rastros.
  • Tácticas de ingeniería social:
    Los correos de phishing se presentan como encuestas con incentivos económicos, incitando a los usuarios a abrir los adjuntos.

Impacto

La explotación exitosa permite a los atacantes:

  • Tomar control remoto total del sistema afectado.
  • Manipular archivos y procesos críticos.
  • Mantener comunicación persistente y cifrada con servidores C2.
  • Evadir la detección de herramientas de seguridad mediante técnicas avanzadas en el kernel Linux.

Recomendaciones

  • Evitar procesar automáticamente nombres de archivos provenientes de adjuntos (ej. bucles en bash sin validación de variables).
  • No abrir adjuntos sospechosos en correos de remitentes desconocidos o inesperados.
  • Actualizar el kernel y herramientas de seguridad para mejorar la detección de comportamientos en memoria e intentos de abuso de io_uring.

    CSIRT - UC