一般而言，大多數的攻擊行動主要針對Windows電腦而來，但最近幾年駭客也將目標延伸到Linux平臺，而且出現一些鮮少在Windows電腦運用的攻擊手法。

例如，最近資安業者Trellix揭露的Linux後門程式VShell攻擊行動，就是這種型態的例子。駭客並非直接透過檔案挾帶惡意程式，而是埋藏在檔案的名稱當中，由於一般的防毒軟體不會對檔案名稱進行檢查，使得攻擊者有機會藉此躲過相關的偵測。

這種手法濫用許多Linux的Shell指令碼相當常見的特性：直接對檔案名稱進行評估或輸出（Echo），由於過往從未出現利用檔名動手腳的攻擊手法，因此，這段程序通常不會先執行防毒等內容過濾的處理。看似良性的命令如：eval "echo $f"，或是基本的檔案操作，都有可能引起整個系統遭到挾持。

值得留意的是，由於防毒軟體不會逐一掃描檔案名稱，以及對於經過編碼處理的命令鏈（encoded command chains），靜態分析工具有可能無法或疏於檢查，再加上，行為分析機制通常會等到檔案名稱的執行之後，才會標記為可疑，因此，這種手法很可能會繞過大部分的防禦機制。

針對這起攻擊發生的過程，源於垃圾郵件挾帶的RAR檔案，而問題就出現在特殊的檔案名稱上，含有嵌入的Bash程式碼，一旦被Shell解譯，就會執行命令。

有別於許多網釣攻擊使用的壓縮檔，這次的RAR檔若是直接解壓縮，並不會觸發攻擊鏈，而是在指令碼或是命令處理此壓縮檔的檔案名稱，才會進行後續的攻擊流程。

過程中，藉由Bash指令碼的互動，就會觸發檔案名稱當中的指令碼，自動執行經Base64演算法處理的惡意程式下載工具，根據受害電腦的處理器架構（x86、x64、Arm、Arm64），下載對應的ELF載入工具。

隨後，這個載入工具會連線到特定的C2，並接收經過XOR演算法加密的VShell有效酬載，解密後於記憶體內執行，攻擊者將其偽裝成Linux核心處理程序，以掩人耳目。