EvilGnome: új kártevő, amely kémkedik és befolyásolja a Linux disztribúciókat

Spyware-EvilgNome

Si azt hitted, hogy a Linux disztribúciók az erdőn kívül vannak, vagyis hogy a vírus a Linuxban mítosz, hadd mondjam el, hogy teljesen tévedsz. tuds a valóság az, hogy vannak rosszindulatú programok, amelyek Linux platformokat céloznak meg és valójában ez elenyésző ahhoz a nagy számú vírushoz képest, amely bővelkedik a Windows platformokon.

Ez a különbség elsősorban az építészetében rejlő sajátosságokkal és annak népszerűségével magyarázható. Ezenkívül a Linux ökoszisztémát megcélzó nagyszámú rosszindulatú program elsősorban a cryptojackingra és a bothálózatok létrehozására összpontosít DDoS támadások végrehajtására.

Az EvilGnome egy rosszindulatú program Linux számára

A biztonsági kutatók nemrégiben felfedeztek egy új kémprogramot megcélozva a Linuxot. Úgy tűnt, hogy a rosszindulatú programok még fejlesztési és tesztelési szakaszban vannak, de már tartalmazott több rosszindulatú modult a felhasználók kémlelésére.

Az Intezer Labs kiberbiztonsági vállalat kutatócsoportja feltárt egy vírust, az EvilGnome nevet, amelynek szokatlan jellemzői vannak a legtöbb Linux kártevőhöz képest, amelyet feltaláltak, és amelyet eddig a piac vezető víruskeresője nem észlelt.

Ez az új rosszindulatú program felfedezte az "EvilGnome" alkalmazást Úgy tervezték, hogy asztali képernyőképeket készítsen, fájlokat lopjon, hangfelvételeket rögzítsen a mikrofonról, hanem más rosszindulatú modulok letöltésére és futtatására is, mindezt a felhasználó tudta nélkül.

Az Intezer Labs által a VirusTotal által felfedezett EvilGnome verzió tartalmazta a Keylogger funkciókat is, jelezve, hogy a fejlesztő valószínűleg tévesen tette online.

A kutatók szerint Az EvilGnome egy igazi kémprogram, amely úgy tesz, mintha egy újabb kiterjesztés lenne, amely a Gnome alatt működik.

Ez a spyware önkicsomagoló szkriptként jön létre, amelyet a "makeelf" segítségével hoztak létre, egy kis shell parancsfájlként, amely önkicsomagoló tömörített kátrányfájlt generál a könyvtárból.

A célrendszeren továbbra is fennáll a crontab, a Windows Feladatütemezőhöz hasonló eszköz használatával, és az ellopott felhasználói adatokat egy támadó által irányított távoli szerverre küldi.

„A kitartást úgy érjük el, hogy regisztráljuk a gnome-shell-ext.sh fájlt, hogy percenként fusson a crontab-ban. Végül a szkript futtatja a gnome-shell-ext.sh fájlt, amely elindítja a fő futtatható gnome-shell-ext fájlt "- mondták a kutatók.

Az EvilGnome összetételéről

Az EvilGnome öt „Shooters” nevű rosszindulatú modult integrál:

  1. ShooterSound amely a PulseAudio segítségével hangot rögzít a felhasználó mikrofonjáról és adatokat tölt le az operátor parancs- és vezérlőkiszolgálójára.
  2. ShooterImage mely modult használja a kairói nyílt forráskódú könyvtár képernyőképek készítéséhez és feltöltéséhez a C&C szerverre azáltal, hogy kapcsolatot létesít az XOrg megjelenítő szerverrel.
  3. ShooterFile, amely a szűrők listáját használja az újonnan létrehozott fájlok fájlrendszerének átkutatásához és feltöltéséhez a C&C szerverre.
  4. ShooterPing amely új parancsokat kap a C&C szervertől, beleértve az összes Shooters készenlétet.
  5. Shooter Key amelyet még be kell vezetni és fel kell használni, valószínűleg egy befejezetlen keylogger modul.

Ezek a különböző modulok titkosítják az elküldött adatokat, és visszafejtik a C&C szervertől kapott parancsokat az "sdg5_AS.sa $ die62" RC3 kulccsal egy orosz nyílt forráskódú könyvtár módosított verziójának felhasználásával.

A kutatók kapcsolatokat találtak az EvilGnome és a Gamaredon között is., egy feltételezett orosz fenyegetéscsoport, amely legalább 2013 óta aktív és az ukrán kormánnyal együttműködő embereket célozza meg.

A operátorok Az EvilGnome olyan tárhelyszolgáltatót használ, amelyet a Gamaredon Group évek óta használ, és a csoport továbbra is használja.

„Úgy gondoljuk, hogy ez egy korai próbaverzió. Arra számítunk, hogy a jövőben új verziókat fedeznek fel és felülvizsgálnak, ami a csoport tevékenységének jobb megértéséhez vezethet "- összegezték a kutatók.

Végül a Linux-felhasználóknak, akik szeretnék ellenőrizni, hogy fertőzöttek-e, javasoljuk, hogy ellenőrizzék a könyvtárat

~ / .cache / gnome-software / gnome-shell-extensions

A futtatható fájlhoz "Gnome-shell-ext"

forrás: https://www.intezer.com/


2 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   ja dijo

    És ezt el is érjük, kibontjuk a kátrányt, telepítjük és root jogosultságokat adunk neki.
    Mi vagyunk azok, amelyeket általában bármely mérsékelten tájékozott Linux felhasználó csinál, igaz?

  2.   újszülött dijo

    Mivel a GNOME kiterjesztéseként rejtve van, nem valószínű, hogy más asztali gépek, például a KDE felhasználói letöltenék