EvilGnome: новое вредоносное ПО, которое шпионит за дистрибутивами Linux и влияет на них

Darkcrizt

4 минут

Шпионское ПО-EvilGnome

Si вы думали, что дистрибутивы Linux вышли из леса, то есть вирус в Linux - это миф, позвольте мне сказать вам, что вы совершенно не правы. Пуэs реальность такова, что существует вредоносное ПО, нацеленное на платформы Linux. и на самом деле это ничтожно мало по сравнению с большим количеством вирусов, которыми изобилует платформа Windows.

Это различие можно объяснить, в частности, особенностями его архитектуры и популярностью. Кроме того, большое количество вредоносных программ, нацеленных на экосистему Linux, в первую очередь ориентировано на криптоджекинг и создание ботнетов для проведения DDoS-атак.

EvilGnome - вредоносное ПО для Linux

Исследователи безопасности недавно обнаружили новое шпионское ПО ориентированный на Linux. Похоже, что вредоносная программа все еще находилась на стадии разработки и тестирования. но он уже включал несколько вредоносных модулей для слежки за пользователями.

Исследовательская группа Intezer Labs, компании, занимающейся кибербезопасностью, обнаружил вирус, названный EvilGnome, который имеет необычные характеристики по сравнению с большинством изобретенных вредоносных программ для Linux и до сих пор не был обнаружен ведущими антивирусами на рынке.

Это новое вредоносное ПО обнаружило "EvilGnome". Он был разработан для создания снимков экрана рабочего стола, кражи файлов, записи аудиозаписей с микрофона, но также для загрузки и запуска других вредоносных модулей без ведома пользователя.

Версия EvilGnome, обнаруженная Intezer Labs на VirusTotal, также содержала функцию кейлоггера, указывающую на то, что ее разработчик, вероятно, по ошибке разместил ее в сети.

По данным следствия, EvilGnome - это настоящая шпионская программа, которая претендует на роль еще одного расширения, работающего под Gnome.

Это шпионское ПО представляет собой самораспаковывающийся сценарий, созданный с помощью «makeself», небольшого сценария оболочки, который генерирует самораспаковывающийся сжатый файл tar из каталога.

Он сохраняется в целевой системе с помощью crontab, инструмента, аналогичного планировщику задач Windows, и отправляет украденные данные пользователя на удаленный сервер, управляемый злоумышленником.

«Постоянство достигается за счет регистрации gnome-shell-ext.sh для ежеминутного запуска в crontab. Наконец, сценарий запускает gnome-shell-ext.sh, который, в свою очередь, запускает основной исполняемый файл gnome-shell-ext », - сказали исследователи.

О составе EvilGnome

EvilGnome объединяет пять вредоносных модулей под названием «Шутеры»:

  1. ШутерЗвук который использует PulseAudio для захвата звука с микрофона пользователя и загрузки данных на сервер управления и контроля оператора.
  2. СтрелокИзображение какой модуль Cairo с открытым исходным кодом использует для создания снимков экрана и загрузки их на сервер C&C, открыв соединение с сервером отображения XOrg.
  3. СтрелокФайл, который использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов и загрузки их на C&C сервер.
  4. Стрелок который получает новые команды от C&C сервера, включая все резервные Shooters.
  5. Стрелок который еще предстоит реализовать и использовать, вероятно, незаконченный модуль кейлоггера.

Эти различные модули шифруют отправленные данные и расшифровывают команды, полученные от C&C сервера, с помощью ключа RC5 «sdg62_AS.sa $ die3» с использованием модифицированной версии российской библиотеки с открытым исходным кодом.

Исследователи также обнаружили связь между EvilGnome и Gamaredon., предполагаемая российская группа угроз, которая действует по крайней мере с 2013 года и нацелена на людей, которые работают с украинским правительством.

Операторы EvilGnome использует хостинг-провайдера, который использовался Gamaredon Group в течение многих лет., и группа продолжает его использовать.

«Мы считаем, что это преждевременная пробная версия. Мы ожидаем, что новые версии будут обнаружены и рассмотрены в будущем, что может привести к лучшему пониманию деятельности группы », - заключили исследователи.

Наконец, пользователям Linux, которые хотят проверить наличие зараженных, рекомендуется проверить каталог.

~ / .cache / программное обеспечение gnome / расширения оболочки gnome

Для исполняемого файла "Гном-оболочка-доп"

источник: https://www.intezer.com/


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   ja сказал
    тому назад 5 лет

    И это достигается путем разархивирования tar, его установки и предоставления ему прав root.
    Мы то, что обычно делает любой умеренно информированный пользователь Linux, верно?

    Ответить ja
  2.   Новичок сказал
    тому назад 5 лет

    Поскольку он скрыт как расширение для GNOME, он вряд ли будет загружен пользователями других рабочих столов, таких как KDE.

    Ответ новичку