O nouă campanie de malware vizează sistemele Linux, folosind o metodă ingenioasă care transformă numele unui fișier de arhivă într-o armă cibernetică. Infecția se lanseaza cu un e-mail de tip spam, deghizat sub forma unei invitații la un sondaj, care livrează o arhivă malițioasă. Atacul folosește ingineria socială pentru a profita de curiozitatea utilizatorilor, determinându-i să deschidă fișierul periculos. Acesta este daunator nu prin conținut, ci prin numele său, care conține codul ce declanșează atacul.
Pericolul acestui atac stă în faptul că el exploatează practicile de programare vulnerabile, folosite frecvent în mediul Linux. Numele fișierului din arhivă conține un cod compatibil cu Bash, conceput să se execute atunci când este procesat de operațiuni de rutină, cum ar fi listarea fișierelor dintr-un director. Payload-ul, de tip command injection, este codificat în Base64, ocolind majoritatea soluțiilor de securitate.
Odată declanșat, codul din numele fișierului descarcă un fișier adițional, care la rândul său, descarcă și rulează binarul final, VShell. Acest backdoor operează în întregime în memoria sistemului, folosind masquerading-ul (deghizarea) pentru a se ascunde ca un proces legitim și pentru a evita detecția pe bază de fișiere de pe disc. Această tehnică arată că atacurile pe sistemele Linux sunt acum mai discrete, iar metodele de securitate folosite până acum nu mai sunt suficiente.
Sfaturi de protecție
1. Fii precaut cu e-mailurile și atașamentele
Pasul 1: Nu da click pe linkuri și nu descărca atașamente din mesaje primite de la expeditori necunoscuți sau suspecți.
Pasul 2: Pentru a verifica adresa reală a expeditorului, dă click dreapta pe e-mail și alege „Vizualizare detalii mesaj” sau o opțiune similară. Aici vei găsi câmpurile From: (adresa afișată, care poate fi falsificată ușor) și Return-Path: (adresa reală a serverului de unde a fost trimis e-mailul).
Pasul 3: Fii atent la greșelile de gramatică, la un ton nefiresc sau la cereri urgente și neobișnuite, care pot indica un e-mail fals.
2. Activează autentificarea cu doi factori (2FA)
2FA este cea mai bună apărare împotriva furtului de parole, care te protejează de o gamă mult mai largă de amenințări.
Pasul 1: Găsește meniul de securitate. Intră în contul tău online (de exemplu, Google, Facebook sau un cont de e-mail) și mergi la Settings (Setări). Acolo, caută o secțiune numită Security (Securitate) sau Privacy (Confidențialitate).
Pasul 2: Alege o metodă de verificare. Vei găsi o opțiune numită "Autentificare în 2 pași", "Verificare în 2 etape" sau similar. Odată ce o activezi, va trebui să alegi cum vrei să primești a doua cheie (codul).
Pasul 3: Conectează-ți telefonul. Dacă ai ales aplicația de autentificare, ți se va cere să scanezi un cod QR cu telefonul. Deschizi aplicația, o îndrepți spre ecran, iar contul tău va aparea imediat în listă, gata să-ți genereze coduri.
Pasul 4: Salvează codurile de rezervă. Descarcă-le și salvează-le într-un loc sigur (nu pe computer, în caz că acesta este compromis). Aceste coduri te vor ajuta să te loghezi în cont dacă îți pierzi sau se strică telefonul.
3. Evită utilizarea fișierelor de tip script vulnerabile
Acest atac exploatează o slăbiciune la modul în care anumite comenzi sunt scrise în fișierele de tip script. Mai simplu spus, un fișier malițios poate face o comandă simplă să se comporte ca un program periculos.
Pasul 1: Identificare. Fii atent la fișierele de tip script care folosesc comenzi precum eval sau xargs -I. Acestea sunt cunoscute ca fiind vulnerabile deoarece interpretează numele fișierelor ca fiind cod, permițând codului malițios să se execute.
Pasul 2: Corectare. Înlocuiește aceste comenzi cu alternative mai sigure. De exemplu, în loc de for f in *; do eval "echo $f"; done (o practică de programare vulnerabilă), folosește o buclă mai sigură care nu va interpreta numele fișierului ca o comandă.
4. Restricționează permisiunile fișierelor
Chiar dacă un fișier malițios este descărcat, permisiunile corecte pot preveni executarea sa.
Pasul 1: Asigură-te că fișierele descărcate au permisiuni stricte. De exemplu, folosește comanda chmod 644 nume_fisier.ext pentru a permite citirea de către toți, dar execuția doar de către administrator.
Pasul 2: Nu rula fișiere de tip script descărcate cu comanda chmod +x decât dacă ești sigur de proveniența și conținutul lor. Asta ar permite executarea, făcând fișierul mult mai periculos.
5. Folosește un software antivirus (și de detecție) pentru Linux
Chiar și sistemele Linux au nevoie de protecție. Un antivirus modern poate detecta malware-ul înainte ca acesta să fie activat.
Pasul 1: Instalează un software antivirus reputabil pentru Linux, precum ClamAV, rulând comanda sudo apt install clamav pe distribuțiile bazate pe Debian.
Pasul 2: Asigură-te că definițiile de viruși sunt actualizate zilnic și că scanările automate sunt programate.
6. Dezactivează extragerea automată a arhivelor
Pe Linux, majoritatea managerilor de fișiere au o opțiune pentru a extrage automat conținutul unei arhive atunci când o descarci. Această funcție trebuie dezactivată.
Pasul 1: Deschide aplicația de gestionare a arhivelor (de exemplu, File Roller sau Ark).
Pasul 2: Caută în Settings (Setări) sau Preferences (Preferințe) opțiunea de a dezactiva extragerea automată a arhivelor după descărcare.
7. Implementează Application Whitelisting (Liste albe de aplicații)
Această măsură de securitate permite executarea doar a programelor aflate pe o listă aprobată, blocând orice altă aplicație, inclusiv programele malițioase. Pentru a face asta, te poți folosi de instrumentele de securitate încorporate în Linux.
Pasul 1: Utilizează SELinux pentru controlul accesului. SELinux (Security-Enhanced Linux) este un modul de securitate al nucleului Linux care impune politici de acces pentru toate procesele, fișierele și utilizatorii. El funcționează ca un scut suplimentar de protecție, care blochează chiar și un utilizator cu drepturi de administrator să facă ceva ce nu are voie. Verifică-l cu comanda sestatus și activează-l, dacă este inactiv.
Pasul 2: Creează profiluri cu AppArmor. AppArmor este un alt instrument de securitate care funcționează pe principiul „listei albe”. El definește un set de reguli stricte pentru fiecare aplicație, specificând ce poate și ce nu poate face. De exemplu, poți bloca un program să scrie în fișierele critice ale sistemului, chiar dacă atacatorii reușesc să obțină controlul asupra lui.
8. Actualizează sistemul de operare (Debian/Ubuntu)
Pasul 1: Deschide un terminal.
Pasul 2: Rulează comanda sudo apt update pentru a actualiza lista pachetelor software disponibile.
Pasul 3: Rulează comanda sudo apt upgrade pentru a instala efectiv toate actualizările de securitate și noile versiuni ale pachetelor.
9. Utilizează un firewall
Un firewall monitorizează traficul de rețea și blochează conexiunile suspecte.
Pasul 1: Asigură-te că firewall-ul este activat. Pe majoritatea distribuțiilor Linux, poți folosi instrumente precum iptables sau ufw (Uncomplicated Firewall).
Pasul 2: Rulează comanda sudo ufw enable pentru a activa firewall-ul.
Pasul 3: Verifică starea firewall-ului aplicand comanda sudo ufw status. Asta ar trebui să arate că traficul intră și iese din rețea doar prin porturile esențiale.
10. Creează copii de rezervă (backup)
În cazul unui atac, un backup al datelor te ajută să recuperezi rapid informațiile.
Pasul 1: Configurează o soluție de backup automată (de exemplu, BorgBackup sau rsync) pentru a salva periodic fișierele importante.
Pasul 2: O comandă de backup simplă cu rsync ar fi: rsync -avz /calea/catre/date/ /calea/catre/destinatie/.
Pasul 3: Asigură-te că backupurile sunt stocate pe un mediu extern, deconectat fizic de sistemul tău, pentru a preveni infectarea lor.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro