„EvilGnome“: nauja kenkėjiška programa, kuri šnipinėja ir veikia „Linux“ paskirstymus

Spyware-EvilGnome

Si jūs manėte, kad „Linux“ platinimai buvo iš miško, tai yra, kad virusas Linux yra mitas, leisk man pasakyti, kad tu visiškai neteisus. galiRealybė yra ta, kad yra kenkėjiškų programų, nukreiptų į „Linux“ platformas ir iš tikrųjų tai yra nereikšminga, palyginti su daugybe virusų, kurių gausu „Windows“ platformose.

Šį skirtumą galima paaiškinti visų pirma jo architektūrai būdingais ypatumais ir atitinkamu populiarumu. Be to, didelis kenkėjiškų programų, nukreiptų į „Linux“ ekosistemą, skaičius pirmiausia yra nukreiptas į kriptografiją ir robotų tinklų kūrimą DDoS atakoms vykdyti.

„EvilGnome“ kenkėjiška programa, skirta „Linux“

Saugumo tyrėjai neseniai atrado naują šnipinėjimo programą nukreiptas į „Linux“. Kenkėjiška programa vis dar buvo kūrimo ir bandymo stadijoje, bet jame jau buvo keli kenkėjiški moduliai, skirti šnipinėti vartotojus.

Kibernetinio saugumo bendrovės „Intezer Labs“ tyrimų grupė atskleidė virusą, pavadintą „EvilGnome“, kuris pasižymi neįprastomis savybėmis, palyginti su dauguma sugalvotų „Linux“ kenkėjiškų programų, kurių iki šiol nepastebėjo pagrindinis antivirusas rinkoje.

Ši nauja kenkėjiška programa atrado „EvilGnome“ Jis buvo skirtas fotografuoti darbalaukio ekrano kopijas, vogti failus, užfiksuoti garso įrašus iš mikrofono, bet ir atsisiųsti bei paleisti kitus kenkėjiškus modulius, vartotojui nežinant.

„EvezGnome“ versijoje, kurią „Intezer Labs“ atrado „VirusTotal“, taip pat buvo „keylogger“ funkcija, rodanti, kad jos kūrėjas tikriausiai per klaidą ją įdėjo į internetą.

Pasak tyrėjų, „EvilGnome“ yra tikra šnipinėjimo programa, kuri apsimeta dar vienu plėtiniu, veikiančiu „Gnome“.

Ši šnipinėjimo programa yra savaime išsiskiriantis scenarijus, sukurtas naudojant „save“ - mažą apvalkalo scenarijų, kuris iš katalogo sugeneruoja suspaustą dervos failą.

Jis išlieka tikslinėje sistemoje naudojant „crontab“, įrankį, panašų į „Windows“ užduočių planavimo įrankį, ir siunčia pavogtus vartotojo duomenis į nuotolinį serverį, kurį valdo užpuolikas.

„Atkaklumas pasiekiamas užregistravus gnome-shell-ext.sh, kad jis kiekvieną minutę bėgtų crontab. Galiausiai scenarijus paleidžia gnome-shell-ext.sh, kuris savo ruožtu paleidžia pagrindinį vykdomąjį „gnome-shell-ext“ “, - teigė mokslininkai.

Apie „EvilGnome“ kompoziciją

„EvilGnome“ integruoja penkis kenkėjiškus modulius, vadinamus „Šauliais“:

  1. „ShooterSound“ kuris naudoja „PulseAudio“ garso įrašymui iš vartotojo mikrofono ir duomenų atsisiuntimui į operatoriaus komandų ir valdymo serverį.
  2. ŠaulysVaizdas kurį modulį Kairo atvirojo kodo biblioteka naudoja ekrano kopijoms daryti ir įkelti į C&C serverį, atidarydama ryšį su „XOrg“ rodymo serveriu.
  3. „ShooterFile“, kuris naudoja filtrų sąrašą, norėdamas nuskaityti naujai sukurtų failų failų sistemą ir įkelti juos į C&C serverį.
  4. „ShooterPing“ kuris gauna naujas komandas iš C&C serverio, įskaitant visą „Shooters“ budėjimo režimą.
  5. „ShooterKey“ kuris dar turi būti įgyvendintas ir naudojamas, tikriausiai nebaigtas keylogger modulis.

Šie skirtingi moduliai užšifruoja išsiųstus duomenis ir iššifruoja komandas, gautas iš „C&C“ serverio naudojant RC5 raktą „sdg62_AS.sa $ die3“, naudojant modifikuotą Rusijos atvirojo kodo bibliotekos versiją.

Tyrėjai taip pat nustatė sąsajas tarp „EvilGnome“ ir „Gamaredon“., įtariama Rusijos grėsmių grupė, kuri aktyviai veikia bent nuo 2013 m.

Operatoriai „EvilGnome“ naudoja prieglobos paslaugų teikėją, kurį „Gamaredon Group“ naudoja daugelį metųir grupė ir toliau juo naudojasi.

„Manome, kad tai yra ankstyva bandomoji versija. Mes tikimės, kad ateityje bus atrastos ir peržiūrėtos naujos versijos, o tai gali padėti geriau suprasti grupės veiklą “, - apibendrino tyrėjai.

Galiausiai „Linux“ vartotojams, norintiems patikrinti, ar jie yra užkrėsti, patariama patikrinti katalogą

~ / .cache / gnome-software / gnome-shell-extensions

Vykdomajam „Gnome-shell-ext“

Fuente: https://www.intezer.com/


2 komentarai, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   ja sakė

    Ir tai pasiekiama, atsegus dervą, ją įdiegus ir suteikiant root teises.
    Mes esame tai, ką paprastai daro bet kuris vidutiniškai informuotas „Linux“ vartotojas, tiesa?

  2.   Naujokas sakė

    Kadangi jis yra paslėptas kaip GNOME plėtinys, vargu ar jį galės atsisiųsti kitų darbalaukių, pvz., KDE, vartotojai