VShell : malware Linux fileless déclenché par un nom de fichier piégé
Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inĂ©dit: un nom de fichier piĂ©gĂ© dans une archive RAR qui dĂ©clenche lâexĂ©cution Bash lors dâopĂ©rations de scripts non sĂ©curisĂ©es (eval/echo/printf). Lâanalyse technique dĂ©taille une chaĂźne fileless, multiâĂ©tapes, aboutissant au backdoor VShell exĂ©cutĂ© en mĂ©moire et masquĂ© en processus noyau. âą Ătapes clĂ©s de lâinfection đ§ Vecteur initial (spam + .rar): un eâmail appĂąt renferme une archive contenant un fichier dont le nom embarque du Bash encodĂ© Base64. Lâextraction seule ne lâexĂ©cute pas; lâexĂ©cution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval âecho $fâ, find/xargs avec evalâŠ). Stage 1 (dĂ©clencheur): le nom de fichier Ă©value un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): dĂ©termine lâarchitecture (x86, x64, ARM, ARM64), tĂ©lĂ©charge un ELF adaptĂ©, et lâexĂ©cute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la dĂ©crypte en mĂ©moire puis lâexĂ©cute avec fexecve(), tout en se dĂ©guisant en thread noyau « [kworker/0:2] » et en Ă©vitant la rĂ©âinfection via un marqueur (/tmp/log_de.log). LâĂ©tape initiale est alignĂ©e sur lâactivitĂ© du dropper Snowlight (abus de noms de fichiers + exĂ©cution Bash). âą Charge finale: VShell (backdoor Go) đ”ïžââïž ...