22 Août
🔍 Alerte Cybersécurité : Une nouvelle menace Linux contourne les antivirus via les noms de fichiers RAR malveillants !
Des chercheurs en cybersécurité ont dévoilé une chaîne d’attaque inédite ciblant Linux. Des e-mails de phishing distribuent un backdoor nommé VShell dont la charge utile est astucieusement dissimulée dans les noms de fichiers RAR, exploitant l’injection de commandes shell pour échapper à la détection des antivirus.
Comment une simple liste de fichiers peut-elle déclencher une infection critique sur votre système Linux ?
* **Attaque Furtive :** La technique exploite une faille dangereuse dans l’évaluation des noms de fichiers par les scripts shell. Une charge utile malveillante, encodée en Base64 et compatible Bash, est intégrée directement dans le nom d’un fichier RAR. L’exécution se déclenche non pas lors de l’extraction, mais lorsque le nom de fichier est simplement lu ou analysé par une commande ou un script, transformant une opération innocente en un puissant vecteur d’attaque. Cette méthode, souvent ignorée par les moteurs antivirus traditionnels qui ne scannent pas les noms de fichiers, offre une furtivité redoutable.
* **VShell, le Backdoor Invisible :** Le processus d’infection déploie ensuite VShell, un outil d’accès à distance (RAT) développé en Go. Largement utilisé par des groupes de hackers chinois, notamment UNC5174, VShell est conçu pour opérer entièrement en mémoire, évitant ainsi la détection basée sur les signatures de fichiers sur disque. Il offre des capacités étendues telles que le shell inversé, la gestion complète de fichiers et de processus, le transfert de port, et des communications Command & Control (C2) chiffrées, permettant un contrôle total sur le système compromis.
* **RingReaper et l’évasion par `io_uring` :** Une autre avancée préoccupante concerne RingReaper, un outil post-exploit pour Linux. Il contourne les outils de surveillance classiques et les solutions EDR en exploitant le framework `io_uring` du noyau Linux. Au lieu d’utiliser les fonctions système standards (comme read, write), RingReaper emploie les primitives `io_uring` pour exécuter des opérations de manière asynchrone, réduisant ainsi sa visibilité dans la télémétrie couramment collectée par les EDR et déjouant les mécanismes de détection basés sur les hooks. Ses capacités incluent l’énumération de processus, des sessions PTS, des connexions réseau, et l’abus de binaires SUID pour l’escalade de privilèges.
Cette méthode d’évasion sophistiquée, cachée dans les noms de fichiers ou tirant parti de fonctions noyau avancées, change la donne pour la sécurité Linux. Vos systèmes sont-ils préparés à des menaces qui ne résident même pas dans le contenu des fichiers et qui évitent les mécanismes de surveillance habituels ?
[https://thehackernews.com/2025/08/linux-malware-delivered-via-malicious.html](https://thehackernews.com/2025/08/linux-malware-delivered-via-malicious.html)💡 Ce post a été généré automatiquement grâce à une automatisation sur-mesure que j’ai développée.
👉 Si toi aussi tu veux créer ce type de système pour gagner du temps et publier régulièrement sans effort, contacte-moi en DM.
#automatisation #LinkedInAutomation #growth #productivité
#LinuxSecurity #AVbypass #FilelessMalware #ShellInjection #VShell #io_uring #CybersecurityAlert
