APT36: Come un semplice file .desktop può iniettare spyware nei sistemi Linux

Patrick Di Fazio

Un nuovo report di sicurezza ha rivelato che il gruppo di cyberspionaggio pakistano APT36, noto anche come Transparent Tribe, ha avviato una campagna di attacchi informatici mirata contro enti governativi e della difesa in India. Gli obiettivi principali sono infatti militari (specialmente quelli relativi ad aerospazio e difesa), ma sotto bersaglio sono anche enti di istruzione, ambasciate e PEP (Politically Exposed Persons, persone politicamente esposte).

La novità di questa operazione risiede nell’abuso dei file .desktop di Linux, normalmente utilizzati come semplici collegamenti o launcher, che vengono invece trasformati in vettori per distribuire malware e mantenere persistenza nei sistemi compromessi. Secondo le analisi di aziende come CYFIRMA e CloudSEK, questa tecnica consente agli attaccanti di ingannare le vittime tramite allegati di phishing mascherati da documenti PDF, aprendo la strada al furto di dati sensibili e al mantenimento di un accesso persistente e silenzioso nei dispositivi bersaglio. Il malware rientra nella categoria RAT (Remote Access Trojan) e permetterebbe di eseguire comandi sul computer vittima, spiare silenziosamente gli utenti e sottrarre dati sensibili.

L’attacco inizia in una modalità comune a molti attacchi informatici, ovvero tramite il phishing. La vittima in questo caso riceve per e-mail un messaggio contenente degli allegati, in particolare un file ZIP. Una volta aperto e decompresso il file ricevuto, si otterrà un file .desktop mascherato da PDF. I file .desktop sono file di testo usati su Linux per istruire il Desktop Environment a capire in che modalità aprire e visualizzare l’applicazione.

Ma quindi come è possibile che un file di testo contenga un malware?

In realtà, all’apertura del file .desktop è possibile specificare nella sezione Exec il tipo di comando che si vuole lanciare per gestire l’applicazione. In questo caso gli attaccanti hanno inserito nel campo Exec un comando in bash opportunamente offuscato che crea sotto la directory /tmp un payload malevolo in formato ELF scaricato dal Google Drive dell’organizzazione. Il payload verrà successivamente lanciato e lasciato eseguire in background.

In scenari come questo è facile trovare elementi esterni come Google Drive o OneDrive, dato che permettono di scaricare file senza destare sospetti sulla rete vittima, questo perché in grandi organizzazioni gli endpoint dei due servizi di storage sono spesso messi in whitelist.

Di seguito presentiamo il percorso d’attacco evidenziato da CloudSEK.

In tutto questo gli attaccanti hanno reso il malware il più “silenzioso” possibile. Nel file .desktop è infatti presente la direttiva Terminal=false, che impedisce la visualizzazione di un terminale durante l’esecuzione. Per rendere ancora più credibile l’attacco, la direttiva Exec include anche l’apertura del browser firefox con la visualizzazione di un PDF legittimo. Inoltre, usando un file testuale (e quindi senza un vero e proprio payload al suo interno) è molto più facile bypassare sia gli antivirus nei dispositivi attaccati, ma anche la sicurezza aggiuntiva presente nel client mail che segnala (di solito) la presenza di virus.

I ricercatori hanno inoltre scoperto che il malware attua una sorta di “persistenza” grazie alla specifica X-GNOME-Autostart-enabled=true che permette di avviare il comando specificato nel file .desktop all’avvio del sistema. Oltre a questo è stato evidenziato come il payload scaricato sia fornito di metodi di offuscamento, anti-analisi e persistenza. Il malware ha anche la capacità di contattare un server di controllo (C2) tramite websocket così da eseguire le istruzioni iniettate dall’attaccante.

La campagna di attacchi condotta da APT36 evidenzia come perfino componenti basilari di Linux, come i file .desktop, possano trasformarsi in armi di cyberspionaggio se sfruttati in modo malevolo. Questa evoluzione delle tecniche dimostra la crescente creatività e pericolosità degli attaccanti, soprattutto quando combinano ingegneria sociale e abuso di funzionalità legittime del sistema.

Per ridurre i rischi, è fondamentale che gli utenti (anche quelli esperti) adottino un approccio prudente. Il consiglio è sempre lo stesso: diffidare degli allegati ricevuti via email, controllare con attenzione l’estensione reale dei file e limitare l’esecuzione di script non verificati.

Security Engineer
Parlo di sicurezza informatica offensive, Linux e Open Source

, , , ,

8 risposte a “APT36: Come un semplice file .desktop può iniettare spyware nei sistemi Linux”

  1. Avatar Stormageddon
    Stormageddon

    Come in tanti casi analoghi lo vedo un attacco piuttosto macchinoso e di attuazione difficile:

    1) il 70% dei servizi email o client non recapitano file zip e/o li segnalano come indesiderati
    2) Non ho capito di preciso cosa dovrebbe fare il file ELF scaricato da google drive ma per fare veri e propri danni non dovrebbe essere eseguito come root con tanto di richiesta password?
    3) Altro fattore è google drive o onedrive, non mi sembra un modo molto anonimo di "spacciare" un malware quindi seppur un esperimento non mi sembra molto praticabile in quanto l'attaccante è tracciabilissimo

    Resta da dire che il 90% degli utenti Linux e non non prestano attenzione a cosa ricevono come allegato quindi è bene ogni tanto far notare la cosa

  2. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Trattandosi di tecniche "pesca a strascico":

    1) Il 30% è più che accettabile (ma per me è molto di più).
    2) Purtroppo è pratica comune di molti avere sudo senza password.
    3) Considerato il grado di controllo che c'è su quei sistemi per creare una nuova utenza è un non problema.

    Poi per carità, il processo è macchinoso, ma questa gente non ha fretta.

  3. Avatar Stormageddon
    Stormageddon

    sei arrivato al mio punto devi trovare un utente che:

    1) può ricevere file zip
    1.1) si fa ingannare dalla mail e apre l'allegato (ricevere uno zip non è così comune)
    1.2) vede che c'è un pdf non controlla che sia un pdf
    1.3) apre
    2) ha sudo senza password

    Mi sembra una situazione che può contare un 0,01 % di utenti, che su linux non è un buon numero

  4. Avatar Alessandro Scarozza
    Alessandro Scarozza

    non mi tornano molte cose
    1- come si fa a mascherare un file .desktop da PDF ? su linux le estensioni sono sempre visibili.
    2- se faccio doppio click su un .desktop, mi viene aperto da un editor di testo, mica viene eseguito no ?

  5. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Quindi supponendo, al ribasso, di perpetrare 1000 attacchi, si beccano 10 infetti. Mica male, considerato che è tutto gratis…

  6. Avatar Patrick Di Fazio
    Patrick Di Fazio

    Conta che i servizi mail segnano file indesiderati di solito facendo combaciare la firma del file (ad esempio lo SHA) con le firme comuni di malware trovati online. È in pratica la stessa cosa che fa VirusTotal. Questo allegato essendo alla fine un file di testo è composto da caratteri arbitrari e da un' entropia diversa che fa probabilmente passare il controllo dagli engine di Malware Detection di una comune mail.
    L'ELF scaricato anche se non gira come root e non può diventarlo può comunque effettuare azioni di infostealing o provare tecniche di privilege escalation nel sistema (ovviamente se opportunamente configurato) e può tranquillamente fare dello sniffing di rete e inviare dati agli attaccanti.
    Google Drive e OneDrive sono utilizzati per essere "silenziosi" nella rete e per bypassare i controlli. Se il file fosse scaricato da websitemalevolo.org sicuramente in alcune organizzazioni si avrebbe qualche alert di sicurezza dal Firewall. In questo caso gli account Google Drive che crea l'attaccante sono "usa e getta" e quindi non tracciabili.

  7. Avatar Patrick Di Fazio
    Patrick Di Fazio

    All'inizio il file è trasferito come uno ZIP, quindi il nome che apparirà in una mail sarà tipo Important_PDF_v12_signed.pdf.zip. Una volta decompresso lo ZIP, l'anteprima del file può essere mascherata, ad esempio, con un nome molto lungo, con il quale si può tagliare l'estensione del file. Mettendosi poi nell'ottica di un utente meno esperto e vedendo un file col nome Important_PDF_v12_signed_vz20_.pdf.desktop potremmo pensare che sia un tipo di file PDF particolare, anche se chiaramente noi sappiamo che è un file di estensione .desktop.
    Per giunta, una volta salvato sul proprio PC il file .desktop (avendo al suo interno anche la specifica ICON) può far finta di essere un PDF settando la sua icona uguale all'icona del PDF (es: usr/share/icons/blabla/pdf.svg).

    Per impostazione predefinita alcuni Desktop Environment permettono ancora l'esecuzione di un file .desktop con un doppio click sul file. Se ti interessa l'argomento ti suggerisco di dare un occhio a questo vecchio messaggio in cui Sam Watkins spiega come sia possibile abusare i file .desktop e propone una soluzione di sicurezza da implementare dentro il Desktop Environment.

  8. Avatar bumulo
    bumulo

    mmm… matematica.
    0,01% ovvero 1 ogni 10000 non 10 su 1000 (sarebbe l'1%)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (12) Notizie (3237) Saturday's Talks (54)

Tag cloud

ai (77) AlmaLinux (34) Android (34) Bug (81) Canonical (86) CentOS (48) Cloud (63) container (52) Controversia (45) Debian (104) desktop (34) docker (65) Fedora (63) Firefox (37) GitHub (77) Gnome (35) Google (89) IBM (56) Intel (56) KDE (42) Kernel (265) Kubernetes (100) Linux (770) LTS (36) Malware (69) Microsoft (194) MicrosoftLovesLinux (37) Mozilla (37) open-source (424) Openstack (58) Oracle (35) Patch (36) Red Hat (176) Release (66) RHEL (44) Rust (39) SaturdaysTalks (52) Sicurezza (120) Software (43) SUSE (42) systemd (78) Torvalds (96) Ubuntu (180) Vulnerabilità (70) Windows (85)