EvilGnome: нов зловреден софтуер, който шпионира и засяга дистрибуциите на Linux

Darkcrizt

4 Minutos

Шпионски софтуер-EvilGnome

Si мислихте, че дистрибуциите на Linux са извън гората, тоест вирусът в Linux е мит, нека ви кажа, че напълно грешите. ПюРеалността е, че има злонамерен софтуер, който е насочен към Linux платформи и всъщност това е нищожно в сравнение с големия брой вируси, които изобилстват на платформите на Windows.

Тази разлика може да се обясни по-специално с особеностите, присъщи на нейната архитектура и съответната популярност. Освен това голямо количество зловреден софтуер, насочен към екосистемата на Linux, е фокусиран основно върху криптоджакинг и създаване на ботнети за извършване на DDoS атаки.

EvilGnome злонамерен софтуер за Linux

Изследователите на сигурността наскоро откриха нов шпионски софтуер насочени към Linux. Изглежда, че зловредният софтуер все още е във фаза на разработка и тестване, но вече включва няколко злонамерени модула за шпиониране на потребители.

Изследователският екип в Intezer Labs, компания за киберсигурност, разкри вирус, наречен EvilGnome, който има необичайни характеристики в сравнение с повечето от зловредния софтуер на Linux, който е изобретен и досега е останал неоткрит от водещата антивирусна програма на пазара.

Този нов зловреден софтуер откри "EvilGnome" Той е проектиран да прави екранни снимки на работния плот, да краде файлове, да заснема аудио записи от микрофона, но също така и за изтегляне и стартиране на други злонамерени модули, всички без знанието на потребителя.

Версията на EvilGnome, открита от Intezer Labs на VirusTotal, също съдържа функционалност на кейлогър, което показва, че нейният разработчик вероятно го е пуснал погрешно онлайн.

Според следователите, EvilGnome е истински шпионски софтуер, който се представя за още едно разширение, което работи под Gnome.

Този шпионски софтуер се предлага като саморазархивиращ се скрипт, създаден с "makeself", малък скрипт, който генерира саморазархивиращ се компресиран tar файл от директория.

Той продължава в целевата система, използвайки crontab, инструмент, подобен на Windows Task Scheduler, и изпраща откраднати потребителски данни на отдалечен сървър, контролиран от нападател.

„Постоянството се постига чрез регистриране на gnome-shell-ext.sh да се изпълнява всяка минута в crontab. И накрая, скриптът изпълнява gnome-shell-ext.sh, който от своя страна стартира основния изпълним gnome-shell-ext “, казаха изследователите.

Относно състава на EvilGnome

EvilGnome интегрира пет злонамерени модула, наречени "Shooters":

  1. ShooterSound който използва PulseAudio за улавяне на звук от микрофона на потребителя и изтегляне на данни на командния и контролен сървър на оператора.
  2. ShooterImage кой модул използва библиотеката с отворен код в Кайро, за да прави екранни снимки и да ги качва на C&C сървъра, като отваря връзка с дисплейния сървър XOrg.
  3. ShooterFile, който използва списък с филтри, за да сканира файловата система за новосъздадени файлове и да ги качи на C&C сървъра.
  4. ShooterPing който получава нови команди от C&C сървъра, включително всички стрелци в режим на готовност.
  5. Ключ за стрелец което все още предстои да бъде внедрено и използвано, вероятно недовършен модул за кейлогър.

Тези различни модули шифроват изпратените данни и дешифрират командите, получени от C&C сървъра с RC5 ключа "sdg62_AS.sa $ die3", използвайки модифицирана версия на руска библиотека с отворен код.

Изследователите също откриха връзки между EvilGnome и Gamaredon., предполагаема руска група за заплахи, която е активна поне от 2013 г. и е насочена към хора, които работят с украинското правителство.

Операторите на EvilGnome използва хостинг доставчик, който се използва от Gamaredon Group от години, а групата продължава да го използва.

„Смятаме, че това е преждевременна пробна версия. Очакваме в бъдеще да бъдат открити и прегледани нови версии, което може да доведе до по-добро разбиране на дейността на групата “, заключиха изследователите.

И накрая, на потребителите на Linux, които искат да проверят дали са заразени, се препоръчва да проверят директорията

~ / .cache / gnome-software / gnome-shell-extensions

За изпълнимия файл "Gnome-shell-ext"

Fuente: https://www.intezer.com/


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   ja каза той
    hace 5 година

    И това е постигнато, разархивирайте tar, инсталирайте го и му дайте root права.
    Ние сме това, което всеки умерено информиран потребител на Linux прави, нали?

    Отговорете на ja
  2.   начинаещ каза той
    hace 5 година

    Тъй като е скрито като разширение за GNOME, е малко вероятно да бъде изтеглено от други потребители на настолни компютри, като KDE

    Отговорете на начинаещ