EvilGnome: en ny malware, der udspionerer og påvirker Linux-distributioner

Si du troede, at Linux-distributioner var ude af skoven, det vil sige, at virus i Linux er en myte, lad mig fortælle dig, at du tager helt fejl. kans virkeligheden er, at der er malware, der er målrettet mod Linux-platforme og faktisk er dette ubetydeligt sammenlignet med det store antal vira, der findes på Windows-platforme.

Denne forskel kunne især forklares ved de særlige egenskaber, der ligger i dens arkitektur og dens respektive popularitet. Derudover er en stor mængde malware rettet mod Linux-økosystemet primært fokuseret på cryptojacking og oprettelse af botnets til at udføre DDoS-angreb.

EvilGnome en malware til Linux

Sikkerhedsforskere opdagede for nylig en ny spyware målretning mod Linux. Malware syntes at være stadig i udviklings- og testfasen, men det omfattede allerede flere ondsindede moduler til at spionere på brugere.

Forskergruppen hos Intezer Labs, et cybersikkerhedsfirma, afslørede en virus ved navn EvilGnome, som har usædvanlige egenskaber sammenlignet med de fleste Linux-malware, der er opfundet og hidtil ikke er blevet opdaget af det førende antivirusprogram på markedet.

Denne nye malware opdagede "EvilGnome" Det var designet til at tage skærmbilleder på skrivebordet, stjæle filer, fange lydoptagelser fra mikrofonen, men også at downloade og køre andre ondsindede moduler, alt uden brugerens viden.

Den version af EvilGnome, der blev opdaget af Intezer Labs på VirusTotal, indeholdt også keylogger-funktionalitet, hvilket indikerer, at dets udvikler sandsynligvis fejlagtigt havde sat den online.

Ifølge forskerne, EvilGnome er en ægte spyware, der hævder at være endnu en udvidelse, der fungerer under Gnome.

Denne spyware kommer som et selvudpakkende script oprettet med "makeself", et lille shell-script, der genererer en selvudpakkende komprimeret tjærefil fra et bibliotek.

Det fortsætter på målsystemet ved hjælp af crontab, et værktøj svarende til Windows Task Scheduler, og sender stjålne brugerdata til en fjernserver styret af en angriber.

”Persistens opnås ved at registrere gnome-shell-ext.sh til at køre hvert minut i crontab. Endelig kører scriptet gnome-shell-ext.sh, som igen lancerer den vigtigste eksekverbare gnome-shell-ext, ”sagde forskerne.

Om sammensætningen af ​​EvilGnome

EvilGnome integrerer fem ondsindede moduler kaldet "Shooters":

1. ShooterLyd som bruger PulseAudio til at fange lyd fra brugerens mikrofon og downloade data til operatørens kommando- og kontrolserver.
2. Skydebillede hvilket modul Cairo open source-biblioteket bruger til at tage skærmbilleder og uploade dem til C&C-serveren ved at åbne en forbindelse til XOrg-displayserveren.
3. ShooterFile, der bruger en liste over filtre til at scanne filsystemet for nyoprettede filer og uploade dem til C&C serveren.
4. ShooterPing der modtager nye kommandoer fra C&C serveren, inklusive alle Standby-skydere.
5. Shooterkey som endnu ikke skal implementeres og bruges, sandsynligvis et ufærdigt keylogger-modul.

Disse forskellige moduler krypterer de sendte data og dekrypterer de kommandoer, der modtages fra C & C-serveren med RC5-nøglen "sdg62_AS.sa $ die3" ved hjælp af en modificeret version af et russisk open source-bibliotek.

Forskerne fandt også forbindelser mellem EvilGnome og Gamaredon.en påstået russisk trusselgruppe, der har været aktiv siden mindst 2013 og målretter mod mennesker, der arbejder med den ukrainske regering.

Operatørerne af EvilGnome bruger en hostingudbyder, der har været brugt af Gamaredon Group i årevis, og gruppen fortsætter med at bruge det.

”Vi synes, det er en for tidlig prøveversion. Vi forventer, at nye versioner vil blive opdaget og gennemgået i fremtiden, hvilket kan føre til en bedre forståelse af gruppens aktiviteter, ”konkluderede forskerne.

Endelig rådes Linux-brugere, der ønsker at kontrollere, om de er inficeret, at kontrollere biblioteket

~ / .cache / gnome-software / gnome-shell-udvidelser

For den eksekverbare "Gnome-shell-ext"

kilde: https://www.intezer.com/