Si azt hitted, hogy a Linux disztribúciók az erdőn kívül vannak, vagyis hogy a vírus a Linuxban mítosz, hadd mondjam el, hogy teljesen tévedsz. tuds a valóság az, hogy vannak rosszindulatú programok, amelyek Linux platformokat céloznak meg és valójában ez elenyésző ahhoz a nagy számú vírushoz képest, amely bővelkedik a Windows platformokon.
Ez a különbség elsősorban az építészetében rejlő sajátosságokkal és annak népszerűségével magyarázható. Ezenkívül a Linux ökoszisztémát megcélzó nagyszámú rosszindulatú program elsősorban a cryptojackingra és a bothálózatok létrehozására összpontosít DDoS támadások végrehajtására.
Az EvilGnome egy rosszindulatú program Linux számára
A biztonsági kutatók nemrégiben felfedeztek egy új kémprogramot megcélozva a Linuxot. Úgy tűnt, hogy a rosszindulatú programok még fejlesztési és tesztelési szakaszban vannak, de már tartalmazott több rosszindulatú modult a felhasználók kémlelésére.
Az Intezer Labs kiberbiztonsági vállalat kutatócsoportja feltárt egy vírust, az EvilGnome nevet, amelynek szokatlan jellemzői vannak a legtöbb Linux kártevőhöz képest, amelyet feltaláltak, és amelyet eddig a piac vezető víruskeresője nem észlelt.
Ez az új rosszindulatú program felfedezte az "EvilGnome" alkalmazást Úgy tervezték, hogy asztali képernyőképeket készítsen, fájlokat lopjon, hangfelvételeket rögzítsen a mikrofonról, hanem más rosszindulatú modulok letöltésére és futtatására is, mindezt a felhasználó tudta nélkül.
Az Intezer Labs által a VirusTotal által felfedezett EvilGnome verzió tartalmazta a Keylogger funkciókat is, jelezve, hogy a fejlesztő valószínűleg tévesen tette online.
A kutatók szerint Az EvilGnome egy igazi kémprogram, amely úgy tesz, mintha egy újabb kiterjesztés lenne, amely a Gnome alatt működik.
Ez a spyware önkicsomagoló szkriptként jön létre, amelyet a "makeelf" segítségével hoztak létre, egy kis shell parancsfájlként, amely önkicsomagoló tömörített kátrányfájlt generál a könyvtárból.
A célrendszeren továbbra is fennáll a crontab, a Windows Feladatütemezőhöz hasonló eszköz használatával, és az ellopott felhasználói adatokat egy támadó által irányított távoli szerverre küldi.
„A kitartást úgy érjük el, hogy regisztráljuk a gnome-shell-ext.sh fájlt, hogy percenként fusson a crontab-ban. Végül a szkript futtatja a gnome-shell-ext.sh fájlt, amely elindítja a fő futtatható gnome-shell-ext fájlt "- mondták a kutatók.
Az EvilGnome összetételéről
Az EvilGnome öt „Shooters” nevű rosszindulatú modult integrál:
- ShooterSound amely a PulseAudio segítségével hangot rögzít a felhasználó mikrofonjáról és adatokat tölt le az operátor parancs- és vezérlőkiszolgálójára.
- ShooterImage mely modult használja a kairói nyílt forráskódú könyvtár képernyőképek készítéséhez és feltöltéséhez a C&C szerverre azáltal, hogy kapcsolatot létesít az XOrg megjelenítő szerverrel.
- ShooterFile, amely a szűrők listáját használja az újonnan létrehozott fájlok fájlrendszerének átkutatásához és feltöltéséhez a C&C szerverre.
- ShooterPing amely új parancsokat kap a C&C szervertől, beleértve az összes Shooters készenlétet.
- Shooter Key amelyet még be kell vezetni és fel kell használni, valószínűleg egy befejezetlen keylogger modul.
Ezek a különböző modulok titkosítják az elküldött adatokat, és visszafejtik a C&C szervertől kapott parancsokat az "sdg5_AS.sa $ die62" RC3 kulccsal egy orosz nyílt forráskódú könyvtár módosított verziójának felhasználásával.
A kutatók kapcsolatokat találtak az EvilGnome és a Gamaredon között is., egy feltételezett orosz fenyegetéscsoport, amely legalább 2013 óta aktív és az ukrán kormánnyal együttműködő embereket célozza meg.
A operátorok Az EvilGnome olyan tárhelyszolgáltatót használ, amelyet a Gamaredon Group évek óta használ, és a csoport továbbra is használja.
„Úgy gondoljuk, hogy ez egy korai próbaverzió. Arra számítunk, hogy a jövőben új verziókat fedeznek fel és felülvizsgálnak, ami a csoport tevékenységének jobb megértéséhez vezethet "- összegezték a kutatók.
Végül a Linux-felhasználóknak, akik szeretnék ellenőrizni, hogy fertőzöttek-e, javasoljuk, hogy ellenőrizzék a könyvtárat
~ / .cache / gnome-software / gnome-shell-extensions
A futtatható fájlhoz "Gnome-shell-ext"
forrás: https://www.intezer.com/
És ezt el is érjük, kibontjuk a kátrányt, telepítjük és root jogosultságokat adunk neki.
Mi vagyunk azok, amelyeket általában bármely mérsékelten tájékozott Linux felhasználó csinál, igaz?
Mivel a GNOME kiterjesztéseként rejtve van, nem valószínű, hogy más asztali gépek, például a KDE felhasználói letöltenék