Нова заплаха за Linux: Зловреден код се крие в самото име на файл

Киберсигурността все по-често ни напомня, че атаките срещу компютърни системи стават все по-изобретателни. Последното откритие на изследователи от компанията Trellix показва изключително необичаен метод за разпространение на зловреден софтуер, който засяга Linux системи.

Как започва атаката?

Всичко тръгва от едно наглед безобидно имейл съобщение. Жертвата получава покана да попълни анкета за козметични продукти, като за благодарност ѝ се обещават малка парична награда (около 10 китайски юана). На пръв поглед – нищо подозрително.

Към имейла обаче е прикачен RAR архив (файл yy.rar). В него се съдържа един файл с доста странно име. То изглежда като документ, но всъщност в самото име е вграден скрит код, написан по такъв начин, че Linux може да го разчете като команда.

Пример:

ziliao2.pdf`{echo,<код на Base64>}|{base64,-d}|bash`

Как работи трикът?

Обикновено вирусите са „скрити“ вътре в самите файлове или в прикачени макроси. Тук обаче номерът е друг – зловредният код се намира директно в името на файла.

Когато този файл се извлече от архива, нищо не се случва. Опасността идва, когато някой скрипт или команда в системата се опита да прочете името. Тогава Linux го интерпретира като команда и автоматично стартира скрития зловреден код.

Причината е, че много скриптове в Linux не проверяват достатъчно внимателно имената на файловете (т.нар. недостатъчна филтрация). Това позволява на нападателя да „инжектира“ команди, които системата изпълнява, мислейки, че просто обработва име на файл.

Какво следва след изпълнението?

Щом кодът се задейства, той стартира скрит Base64 payload, който изтегля друг файл от външен сървър. Това е специален зловреден софтуер, съобразен с архитектурата на устройството – било то x86, ARM или друга.

След като се инсталира, този софтуер се свързва с команден сървър (C2), от който получава инструкции. Така в системата попада VShell – мощен бекдор, написан на езика Go. Той позволява на хакерите:

  • да получат достъп до системата от разстояние,
  • да управляват процеси и файлове,
  • да пренасочват трафик,
  • да извършват операции напълно незабелязано, тъй като работи в паметта и не оставя следи на диска.

Защо това е опасно?

  • Техниката е изключително трудна за засичане, защото антивирусните програми не сканират имената на файловете.
  • Атаката може да засегне голямо разнообразие от Linux устройства – от сървъри до рутери и IoT устройства.
  • Кодът работи изцяло в оперативната памет, което го прави още по-незабележим.

Нови заплахи: RingReaper

Докато Trellix предупреждава за VShell, друг екип от Picus Security разкрива още една опасност – инструмент, наречен RingReaper. Той използва нови възможности на Linux ядрото (io_uring) за скрито изпълнение на команди.

Това му позволява:

  • да следи процеси и мрежови връзки,
  • да събира информация за потребители,
  • да използва уязвимости за повишаване на права,
  • и накрая – да изтрие следите си.

Тази техника затруднява традиционните системи за защита, защото избягва стандартните функции, които обикновено се наблюдават от антивируси и EDR решения.

Как да се предпазим?

  • Бъдете изключително внимателни с прикачени файлове от непознати имейли, дори да изглеждат безобидни.
  • Използвайте надеждни антивирусни и EDR решения, които могат да засичат и по-нестандартни атаки.
  • При работа с Linux – избягвайте да използвате скриптове, които директно обработват имена на файлове без проверка.
  • Следете новините за киберсигурност – нови методи за атака се появяват постоянно.

Заключение:
Случаят с VShell показва колко креативни могат да бъдат хакерите – дори едно „обикновено“ име на файл може да се превърне в оръжие. За потребителите и администраторите това е поредното напомняне, че вниманието към детайла е ключово, а добрата защита започва от критично мислене при работа с непознати файлове.

Тагове:

#Киберсигурност | #Linux | #Извличане На Данни | #Зловреден Софтуер |

Последни Публикации

1
ферма със sim карти

Европол разби сложна мрежа за киберизмами със SIM ферми

На 10 октомври 2025 г. Европол, европейската полицейска агенция, обяви, че е разбила сложна платформа за киберпрестъпления, известна като "киберпрестъпност като услуга" (Cybercrime-as-a-Service, CaaS). Тази платформа е използвала т.нар. SIM ферма – система от устройства, които управляват голям брой ...
2
лого на Windows, изобразено като щит

Microsoft поправя 183 уязвимости: Три вече се използват от хакери

На 14 октомври 2025 г. Microsoft публикува корекции за рекордните 183 уязвимости в сигурността на своите продукти. Сред тях има три уязвимости, които вече се използват активно от хакери. В същото време компанията официално прекрати поддръжката на операционната система Windows 10, освен за компютри, ...
3
хакер поема контрола над RTU устройство и управлява електрическата мрежа

Сериозни уязвимости в устройства на Red Lion: Заплаха за промишлените системи

Изследователи в областта на киберсигурността разкриха два сериозни проблема в сигурността на продуктите на Red Lion Sixnet, наречени "дистанционни терминални устройства" (RTU), които се използват в промишлени системи. Ако тези уязвимости бъдат използвани от злонамерени лица, те могат да позволят изп ...
4
отбор от супергерои се бори с кибер заплахите в интернет

Киберзаплахите на седмицата: нови атаки, обединени хакери и уязвимости в големи системи

Всяка седмица дигиталният свят ни напомня, че тишината не означава сигурност. Кибератаките често започват тихо – една незащитена уязвимост, забравена парола или незашифровано резервно копие. Когато алармата най-после се задейства, щетите вече са нанесени.Тази седмица ще разгледаме как нападателите п ...
5
Управител на корпорация е силно притеснен от кибер заплахите пред бизнеса

Дигиталните заплахи: Седмичен Бюлетин

Киберсветът в турбо режим: Заплахите стават все по-умни Живеем във време, в което удобството върви ръка за ръка с риска. Всяко умно устройство, всяка нова услуга в облака и всяка чат платформа, която ни улеснява, всъщност разширява "бойната линия", по която могат да ни атакуват хакерите. Вече не гов ...
6
експерт по киберсигурност внедрява изкуствен интелект

5 критични въпроса при внедряване на решения за сигурност с AI

В наши дни изкуственият интелект (AI) не е просто модерна дума, а двигател на бизнеса. Все повече компании използват AI и облачни технологии, за да обработват огромни обеми данни, да вземат по-добри решения и да създават нови продукти. С тази огромна сила обаче идва и голяма отговорност, особено ког ...