EvilGnome: un nuevo malware que espía y afecta a las distribuciones Linux

Spyware-EvilGnome

Si pensabas que las distribuciones de Linux estaban fuera de peligro, es decir, que eso de los virus en Linux es un mito, déjame decirte que estas totalmente equivocado. Pues la realidad es que existe malware que se dirige a las plataformas Linux y en realidad este es insignificante en comparación con la gran cantidad de virus que abundan en las plataformas Windows.

Esta diferencia podría explicarse, en particular, por las peculiaridades inherentes a su arquitectura y su respectiva popularidad. Además, una gran cantidad de malware que se dirige al ecosistema de Linux se centra principalmente en el cryptojacking y la creación de botnets para llevar a cabo ataques DDoS.

EvilGnome un malware para Linux

Hace poco los investigadores de seguridad han descubierto recientemente un nuevo software espía dirigido a Linux. El malware parecía estar todavía en la fase de desarrollo y prueba, pero ya incluía varios módulos maliciosos para espiar a los usuarios.

El equipo de investigación de Intezer Labs, una empresa de ciberseguridad, reveló un virus, denominado EvilGnome, que tiene características poco comunes en comparación con la mayoría de los malware de Linux que se han inventado y hasta ahora ha pasado de largo sin ser detectado por los principales antivirus del mercado.

Este nuevo malware descubierto “EvilGnome” fue diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono, pero también para descargar y ejecutar otros módulos maliciosos, todo sin el conocimiento del usuario.

La versión de EvilGnome descubierta por Intezer Labs en VirusTotal también contenía una funcionalidad de keylogger que indicaba que probablemente su desarrollador lo había puesto en línea por error.

Según los investigadores, EvilGnome es un verdadero software espía que pretende ser una extensión más que funciona bajo Gnome.

Este spyware se presenta como un script autoextraíble creado con “makeself”, un script de shell pequeño que genera un archivo de tar comprimido autoextraíble desde un directorio.

Persiste en el sistema de destino utilizando crontab, una herramienta similar al programador de tareas de Windows y envía datos de usuario robados a un servidor remoto controlado por un atacante.

“La persistencia se logra registrando gnome-shell-ext.sh para ejecutarla cada minuto en crontab. Finalmente, el script ejecuta gnome-shell-ext.sh, que a su vez lanza el ejecutable principal gnome-shell-ext “, dijeron los investigadores.

Sobre la composición de EvilGnome

EvilGnome integra cinco módulos maliciosos llamados “Shooters”:

  1. ShooterSound que utiliza PulseAudio para capturar el audio del micrófono del usuario y descargar datos al servidor de comando y control del operador.
  2. ShooterImage qué módulo utiliza la biblioteca de código abierto de Cairo para tomar capturas de pantalla y cargarlas en el servidor de C & C abriendo una conexión con el servidor de pantalla XOrg.
  3. ShooterFile, que utiliza una lista de filtros para escanear el sistema de archivos en busca de nuevos archivos creados y subirlos al servidor de C & C.
  4. ShooterPing que recibe nuevos comandos del servidor C & C, incluido el modo de espera de todos los Shooters.
  5. ShooterKey que aún no se implementó y usó, probablemente un módulo de registro de teclas sin terminar.

Estos diferentes módulos cifran los datos que envían y descifran los comandos recibidos del servidor C&C con la clave RC5 “sdg62_AS.sa $ die3” utilizando una versión modificada de una biblioteca rusa de código abierto.

Los investigadores también encontraron vínculos entre EvilGnome y Gamaredon, un presunto grupo de amenazas ruso que ha estado activo desde al menos 2013 y se dirige a personas que trabajan con el gobierno ucraniano.

Los operadores de EvilGnome utilizan un proveedor de hosting que ha sido utilizado por el Grupo Gamaredon durante años, y el grupo lo sigue utilizando.

“Creemos que es una versión de prueba prematura. Anticipamos que las nuevas versiones se descubrirán y revisarán en el futuro, lo que podría llevar a una mejor comprensión de las actividades del grupo “, concluyeron los investigadores.

Finalmente se recomienda a los usuarios de Linux que deseen comprobar si están infectados que comprueben el directorio

~/.cache/gnome-software/gnome-shell-extensions

Para el ejecutable “gnome-shell-ext”

Fuente: https://www.intezer.com/

2 comentarios, deja el tuyo

  1.   ja dijo

    Y eso se consigue , descomprimiendo el tar, instalándolo, y dándole permisos de root.
    Vamos lo que hace habitualmente cualquier usuario medianamente informado de linux, ¿NO?

  2.   newbie dijo

    Al ocultarse como una extension para GNOME, es poco probable que se lo descarguen usuarios de otros escritorios, como por ejemplo, KDE

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.