Si كنت تعتقد أن توزيعات Linux خرجت من المأزق، وهذا يعني أن الفيروس في Linux هو خرافة ، دعني أخبرك أنك مخطئ تمامًا. بويالحقيقة هي أن هناك برامج ضارة تستهدف منصات Linux وهذا لا يكاد يذكر مقارنة بالعدد الكبير من الفيروسات المنتشرة في أنظمة تشغيل Windows.
يمكن تفسير هذا الاختلاف ، على وجه الخصوص ، من خلال الخصائص المتأصلة في هندسته المعمارية وشعبية كل منها. بالإضافة إلى ذلك ، تركز كمية كبيرة من البرامج الضارة التي تستهدف نظام Linux البيئي بشكل أساسي على cryptojacking وإنشاء شبكات botnets لتنفيذ هجمات DDoS.
EvilGnome برنامج ضار لنظام التشغيل Linux
اكتشف باحثو الأمن مؤخرًا برنامج تجسس جديد تستهدف لينكس. يبدو أن البرامج الضارة لا تزال في مرحلة التطوير والاختبار ، لكنها تضمنت بالفعل عدة وحدات خبيثة للتجسس على المستخدمين.
فريق البحث في Intezer Labs ، وهي شركة للأمن السيبراني ، كشف فيروس يدعى EvilGnome، والتي تتميز بخصائص غير عادية مقارنة بمعظم برامج Linux الضارة التي تم اختراعها ولم يتم اكتشافها حتى الآن بواسطة مضاد الفيروسات الرائد في السوق.
اكتشف هذا البرنامج الضار الجديد "EvilGnome" تم تصميمه لأخذ لقطات شاشة لسطح المكتب ، وسرقة الملفات ، والتقاط التسجيلات الصوتية من الميكروفون ، ولكن أيضًا لتنزيل وحدات ضارة أخرى وتشغيلها ، كل ذلك بدون علم المستخدم.
يحتوي إصدار EvilGnome الذي اكتشفه Intezer Labs على VirusTotal أيضًا على وظيفة keylogger التي تشير إلى أن مطورها ربما وضعه على الإنترنت عن طريق الخطأ.
ووفقا للمحققين، EvilGnome هو برنامج تجسس حقيقي يتظاهر بأنه امتداد إضافي يعمل تحت Gnome.
يأتي برنامج التجسس هذا كبرنامج نصي يتم استخراجه ذاتيًا تم إنشاؤه باستخدام برنامج "makeelf" ، وهو برنامج نصي صغير يقوم بإنشاء ملف tar مضغوط يتم استخراجه ذاتيًا من دليل.
تستمر في النظام الهدف باستخدام crontab ، وهي أداة مشابهة لـ Windows Task Scheduler ، وترسل بيانات المستخدم المسروقة إلى خادم بعيد يتحكم فيه مهاجم.
"يتم تحقيق الثبات من خلال تسجيل gnome-shell-ext.sh للتشغيل كل دقيقة في crontab. أخيرًا ، يتم تشغيل البرنامج النصي gnome-shell-ext.sh ، والذي بدوره يطلق gnome-shell-ext القابل للتنفيذ الرئيسي ".
حول تكوين EvilGnome
يدمج EvilGnome خمس وحدات خبيثة تسمى "Shooters":
- مطلق النار الذي يستخدم PulseAudio لالتقاط الصوت من ميكروفون المستخدم وتنزيل البيانات إلى خادم التحكم والقيادة الخاص بالمشغل.
- مطلق النار الصورة الوحدة النمطية التي تستخدمها مكتبة القاهرة مفتوحة المصدر لالتقاط لقطات الشاشة وتحميلها على خادم القيادة والتحكم عن طريق فتح اتصال بخادم العرض XOrg.
- مطلق النار: ملف، والذي يستخدم قائمة من المرشحات لفحص نظام الملفات بحثًا عن الملفات التي تم إنشاؤها حديثًا وتحميلها على خادم القيادة والتحكم.
- مطلق النار بينغ الذي يتلقى أوامر جديدة من خادم القيادة والتحكم ، بما في ذلك جميع الرماة في وضع الاستعداد.
- مفتاح مطلق النار التي لم يتم تنفيذها واستخدامها بعد ، ربما تكون وحدة keylogger غير مكتملة.
تقوم هذه الوحدات المختلفة بتشفير البيانات المرسلة وفك تشفير الأوامر الواردة من خادم القيادة والتحكم باستخدام مفتاح RC5 "sdg62_AS.sa $ die3" باستخدام نسخة معدلة من مكتبة روسية مفتوحة المصدر.
وجد الباحثون أيضًا روابط بين EvilGnome و Gamaredon.، مجموعة تهديد روسية مزعومة نشطت منذ عام 2013 على الأقل وتستهدف الأشخاص الذين يعملون مع الحكومة الأوكرانية.
مشغلي يستخدم EvilGnome مزود استضافة تستخدمه مجموعة Gamaredon لسنواتوتستمر المجموعة في استخدامه.
"نعتقد أنها نسخة تجريبية سابقة لأوانها. نتوقع أن يتم اكتشاف إصدارات جديدة ومراجعتها في المستقبل ، مما قد يؤدي إلى فهم أفضل لأنشطة المجموعة ".
أخيرًا ، يُنصح مستخدمو Linux الذين يرغبون في التحقق مما إذا كانوا مصابين بالتحقق من الدليل
~ / .cache / gnome-software / gnome-shell-extension
للملف التنفيذي "جنوم شل ext"
مصدر: https://www.intezer.com/
ويتم تحقيق ذلك عن طريق فك ضغط القطران وتثبيته ومنحه أذونات الجذر.
نحن ما يفعله عادة أي مستخدم لينكس على علم باعتدال ، أليس كذلك؟
نظرًا لأنه مخفي كامتداد لـ GNOME ، فمن غير المرجح أن يتم تنزيله بواسطة مستخدمي أجهزة سطح المكتب الأخرى ، مثل KDE