EvilGnome: malware baru yang memata-matai dan memengaruhi distribusi Linux

Darkcrizt

4 menit

Spyware-Evilgnome

Si Anda mengira distribusi Linux sudah keluar dari hutan, artinya, virus di Linux adalah mitos, izinkan saya memberi tahu Anda bahwa Anda benar-benar salah. pueKenyataannya adalah ada malware yang menargetkan platform Linux dan sebenarnya hal ini dapat diabaikan dibandingkan dengan sejumlah besar virus yang tersebar di platform Windows.

Perbedaan ini dapat dijelaskan, khususnya, oleh kekhasan yang melekat pada arsitekturnya dan popularitasnya masing-masing. Selain itu, sejumlah besar malware yang menargetkan ekosistem Linux terutama difokuskan pada cryptojacking dan membuat botnet untuk melakukan serangan DDoS.

EvilGnome adalah malware untuk Linux

Peneliti keamanan baru-baru ini menemukan spyware baru menargetkan Linux. Malware tersebut tampaknya masih dalam tahap pengembangan dan pengujian, tetapi sudah termasuk beberapa modul berbahaya untuk memata-matai pengguna.

Tim peneliti di Intezer Labs, sebuah perusahaan keamanan siber, mengungkapkan virus, bernama EvilGnome, yang memiliki karakteristik tidak biasa dibandingkan dengan kebanyakan malware Linux yang telah ditemukan dan sejauh ini tidak terdeteksi oleh antivirus terkemuka di pasaran.

Malware baru ini menemukan "EvilGnome" Itu dirancang untuk mengambil tangkapan layar desktop, mencuri file, menangkap rekaman audio dari mikrofon, tetapi juga untuk mengunduh dan menjalankan modul berbahaya lainnya, semuanya tanpa sepengetahuan pengguna.

Versi EvilGnome yang ditemukan oleh Intezer Labs di VirusTotal juga berisi fungsionalitas keylogger yang menunjukkan bahwa pengembangnya mungkin salah menaruhnya secara online.

Menurut peneliti, EvilGnome adalah spyware sejati yang berpura-pura menjadi satu ekstensi lagi yang bekerja di bawah Gnome.

Spyware ini hadir sebagai skrip yang mengekstrak sendiri yang dibuat dengan "makeself", skrip shell kecil yang menghasilkan file tar terkompresi yang mengekstrak sendiri dari direktori.

Ini bertahan pada sistem target menggunakan crontab, alat yang mirip dengan Penjadwal Tugas Windows, dan mengirimkan data pengguna yang dicuri ke server jarak jauh yang dikendalikan oleh penyerang.

“Ketekunan dicapai dengan mendaftarkan gnome-shell-ext.sh untuk dijalankan setiap menit di crontab. Akhirnya, skrip menjalankan gnome-shell-ext.sh, yang pada gilirannya meluncurkan gnome-shell-ext utama yang dapat dieksekusi, "kata para peneliti.

Tentang komposisi EvilGnome

EvilGnome mengintegrasikan lima modul berbahaya yang disebut "Shooters":

  1. Suara Penembak yang menggunakan PulseAudio untuk menangkap audio dari mikrofon pengguna dan mengunduh data ke server perintah dan kontrol operator.
  2. Gambar Penembak modul mana yang digunakan pustaka sumber terbuka Kairo untuk mengambil tangkapan layar dan mengunggahnya ke server C&C dengan membuka koneksi ke server tampilan XOrg.
  3. File Penembak, yang menggunakan daftar filter untuk memindai sistem file untuk file yang baru dibuat dan mengunggahnya ke server C&C.
  4. PenembakPing yang menerima perintah baru dari server C&C, termasuk semua Shooters standby.
  5. PenembakKunci yang belum diimplementasikan dan digunakan, mungkin modul keylogger yang belum selesai.

Modul yang berbeda ini mengenkripsi data yang dikirim dan mendekripsi perintah yang diterima dari server C&C dengan kunci RC5 "sdg62_AS.sa $ die3" menggunakan versi modifikasi dari pustaka open source Rusia.

Para peneliti juga menemukan hubungan antara EvilGnome dan Gamaredon., kelompok yang diduga sebagai ancaman Rusia yang telah aktif setidaknya sejak 2013 dan menargetkan orang-orang yang bekerja dengan pemerintah Ukraina.

Operator dari EvilGnome menggunakan penyedia hosting yang telah digunakan oleh Grup Gamaredon selama bertahun-tahun, dan grup terus menggunakannya.

“Kami pikir ini adalah versi uji coba yang prematur. Kami mengantisipasi bahwa versi baru akan ditemukan dan ditinjau di masa mendatang, yang dapat mengarah pada pemahaman yang lebih baik tentang kegiatan kelompok, ”para peneliti menyimpulkan.

Terakhir, pengguna Linux yang ingin memeriksa apakah mereka terinfeksi disarankan untuk memeriksa direktori

~ / .cache / gnome-software / gnome-shell-extensions

Untuk yang bisa dieksekusi "Gnome-shell-ext"

sumber: https://www.intezer.com/


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   ja dijo
    dahulu 5 tahun

    Dan itu tercapai, membuka ritsleting tar, menginstalnya, dan memberinya izin root.
    Kami adalah apa yang biasanya dilakukan oleh setiap pengguna Linux yang berpengetahuan luas, bukan?

    Balas ke ja
  2.   pemula dijo
    dahulu 5 tahun

    Karena disembunyikan sebagai ekstensi untuk GNOME, kemungkinan tidak akan diunduh oleh pengguna desktop lain, seperti KDE

    Balas pemula