EvilGnome: novi zlonamjerni softver koji špijunira i utječe na Linux distribucije

Spyware-EvilGnome

Si mislili ste da su distribucije Linuxa izvan šume, to jest da je virus u Linuxu mit, dopustite mi da vam kažem da ste u potpunosti u krivu. limenkaStvarnost je takva da postoji zlonamjerni softver koji cilja Linux platforme i zapravo je to zanemarivo u usporedbi s velikim brojem virusa kojima obiluje Windows platforma.

Ova bi se razlika mogla objasniti, osobito, osobenostima koje su svojstvene njegovoj arhitekturi i njezinoj popularnosti. Uz to, velika količina zlonamjernog softvera koji cilja Linux ekosustav prvenstveno je usredotočena na kriptojackanje i stvaranje botnet mreža za provođenje DDoS napada.

EvilGnome zlonamjerni softver za Linux

Istraživači sigurnosti nedavno su otkrili novi špijunski softver ciljajući Linux. Čini se da je zlonamjerni softver još uvijek u fazi razvoja i testiranja, ali već je sadržavao nekoliko zlonamjernih modula za špijuniranje korisnika.

Istraživački tim iz tvrtke Intezer Labs, tvrtke za cyber sigurnost, otkrio virus, nazvan EvilGnome, koji ima neobične karakteristike u usporedbi s većinom Linux zlonamjernog softvera koji je izumljen i do sada je ostao neotkriven od strane vodećeg antivirusa na tržištu.

Ovaj novi zlonamjerni softver otkrio je "EvilGnome" Dizajniran je za snimanje zaslona zaslona radne površine, krađu datoteka, hvatanje zvučnih zapisa iz mikrofona, ali i za preuzimanje i pokretanje drugih zlonamjernih modula, a sve bez korisnikova znanja.

Verzija EvilGnomea koju je na VirusTotalu otkrio Intezer Labs također je sadržavala funkcionalnost keyloggera što ukazuje na to da ga je programer vjerojatno pogrešno stavio na mrežu.

Prema istražiteljima, EvilGnome pravi je špijunski softver koji se pretvara da je još jedno proširenje koje radi pod Gnomom.

Ovaj špijunski softver dolazi kao samoraspakirajuća skripta stvorena s "makeself", malom skriptom ljuske koja generira samoraspakirajuću komprimiranu tar datoteku iz direktorija.

Ustraje na ciljnom sustavu pomoću crontaba, alata sličnog Windowsovom planeru zadataka, i šalje ukradene korisničke podatke na udaljeni poslužitelj kojim upravlja napadač.

“Postojanost se postiže registracijom gnome-shell-ext.sh za pokretanje svake minute u crontabu. Konačno, skripta pokreće gnome-shell-ext.sh, što zauzvrat pokreće glavni izvršni gnome-shell-ext ", rekli su istraživači.

O sastavu EvilGnomea

EvilGnome integrira pet zlonamjernih modula nazvanih "Strijelci":

  1. ShooterSound koji koristi PulseAudio za hvatanje zvuka iz korisnikovog mikrofona i preuzimanje podataka na naredbeni i upravljački poslužitelj operatora.
  2. Slika strijelca koji modul biblioteka otvorenog koda u Kairu koristi za snimanje zaslona i njihovo učitavanje na C&C poslužitelj otvaranjem veze s prikaznim poslužiteljem XOrg.
  3. ShooterFile, koji koristi popis filtara za skeniranje datotečnog sustava za novostvorene datoteke i prijenos na C&C poslužitelj.
  4. ShooterPing koji prima nove naredbe s C&C poslužitelja, uključujući sve strijelce u stanju pripravnosti.
  5. Ključ strijelca koji tek treba implementirati i koristiti, vjerojatno nedovršeni modul keyloggera.

Ovi različiti moduli šifriraju poslane podatke i dešifriraju naredbe primljene s C&C poslužitelja pomoću RC5 ključa "sdg62_AS.sa $ die3" koristeći modificiranu verziju ruske biblioteke otvorenog koda.

Istraživači su također pronašli veze između EvilGnomea i Gamaredona., navodna ruska prijetnja skupina koja djeluje barem od 2013. godine i usmjerena je na ljude koji surađuju s ukrajinskom vladom.

Operatori tvrtke EvilGnome koristi pružatelja usluga hostinga kojeg Gamaredon Group koristi već godinama, a grupa ga nastavlja koristiti.

“Mislimo da je to prijevremena probna verzija. Očekujemo da će nove verzije biti otkrivene i pregledane u budućnosti, što bi moglo dovesti do boljeg razumijevanja aktivnosti grupe ", zaključili su istraživači.

Konačno, Linux korisnicima koji žele provjeriti jesu li zaraženi savjetuje se da provjere direktorij

~ / .cache / gnome-software / gnome-shell-extensions

Za izvršnu datoteku "Gnome-shell-ext"

izvor: https://www.intezer.com/


2 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   ja dijo

    I to je postignuto, raspakiravanjem tar-a, instaliranjem i davanjem korijenskih dozvola.
    Mi smo ono što obično radi svaki umjereno informirani korisnik Linuxa, zar ne?

  2.   newbie dijo

    Budući da je skriven kao proširenje za GNOME, vjerojatno ga neće preuzeti korisnici drugih radnih površina, poput KDE-a