Credit image: Freepix
Taktik Canggih Malware VShell – Para peneliti keamanan siber telah mengungkap rantai serangan baru yang menggunakan email phising untuk menyebarkan backdoor open-source bernama VShell.
Rantai infeksi malware khusus Linux ini dimulai dengan email spam yang berisi file arsip RAR berbahaya. Muatannya tidak tersembunyi di dalam konten file atau makro, melainkan dikodekan langsung di dalam nama file itu sendiri.
Teknik ini memanfaatkan pola berbahaya yang umum ditemukan pada skrip shell ketika nama file dievaluasi tanpa pembersihan yang memadai.
Hal ini memungkinkan perintah sederhana seperti eval atau echo untuk memfasilitasi eksekusi kode berbahaya. Keuntungan tambahan dari teknik ini adalah dapat melewati pertahanan tradisional, karena mesin antivirus biasanya tidak memindai nama file.
Cara Kerja Serangan
Titik awal serangan adalah pesan email yang berisi arsip RAR. Arsip ini menyertakan file dengan nama yang dibuat secara berbahaya, seperti: ziliao2.pdfecho,<Base64-encoded command>}|{base64,-d}|bash`.
Nama file ini menggabungkan kode yang kompatibel dengan Bash, yang dirancang untuk mengeksekusi perintah ketika diinterpretasikan oleh shell.
Penting untuk dicatat bahwa mengekstrak file dari arsip saja tidak akan memicu eksekusi. Eksekusi hanya terjadi ketika skrip atau perintah shell mencoba menguraikan nama file tersebut.
Hal ini mengarah pada eksekusi pengunduh tersemat yang dikodekan Base64. Pengunduh ini kemudian mengambil biner ELF dari server eksternal untuk arsitektur sistem yang sesuai.
Biner ini akan memulai komunikasi dengan server command-and-control (C2) untuk mendapatkan muatan VShell yang dienkripsi, lalu mendekode, dan mengeksekusinya di host.
Malware VShell
Email phising ini menyamar sebagai undangan survei produk kecantikan, menjanjikan imbalan moneter sebesar 10 RMB (Yuan) untuk penyelesaiannya.
Yang krusial, email tersebut menyertakan lampiran arsip RAR (‘yy.rar’), meskipun tidak secara eksplisit menginstruksikan pengguna untuk membuka atau mengekstraknya.
Sudut pandang rekayasa sosialnya halus: pengguna dialihkan perhatiannya oleh konten survei, dan keberadaan lampiran tersebut mungkin disalahartikan sebagai dokumen terkait survei.
VShell adalah alat akses jarak jauh berbasis Go yang telah digunakan secara luas oleh kelompok peretas Tiongkok dalam beberapa tahun terakhir. Malware ini mendukung reverse shell, operasi file, manajemen proses, penerusan port, dan komunikasi C2 terenkripsi.
Yang membuat serangan ini berbahaya adalah malware ini beroperasi sepenuhnya di memori, menghindari deteksi berbasis disk, dan dapat menargetkan berbagai perangkat Linux.
Analisis ini menyoroti evolusi berbahaya dalam pengiriman malware Linux di mana nama file sederhana yang tertanam dalam arsip RAR dapat dipersenjatai untuk mengeksekusi perintah arbitrer.
|
Baca juga: Panduan Bersih-Bersih Komputer Setelah Kena Malware |
RingReaper
Perkembangan ini muncul saat adanya rilis analisis teknis tentang alat pasca-eksploitasi yang berfokus pada Linux, bernama RingReaper. Malware ini memanfaatkan kerangka kerja io_uring kernel Linux untuk mengakali alat pemantauan tradisional.
RingReaper menggunakan io_uring untuk menghitung proses sistem, sesi pseudo-terminal (PTS) aktif, koneksi jaringan, dan pengguna yang masuk.
Ia juga mampu mengumpulkan informasi pengguna dari file /etc/passwd, menyalahgunakan biner SUID untuk peningkatan hak istimewa, dan menghapus jejaknya sendiri setelah eksekusi.
Sumber berita:
