EvilGnome: nový malware, ktorý špehuje a ovplyvňuje distribúcie Linuxu

Si mysleli ste si, že distribúcie Linuxu sú z lesa, to znamená, že vírus v Linuxe je mýtus, poviem ti, ze sa totalne mylim. môcťRealita je taká, že existuje malware zameraný na platformy Linux a v skutočnosti je to zanedbateľné v porovnaní s veľkým počtom vírusov, ktoré sa vyskytujú na platformách Windows.

Tento rozdiel by sa dal vysvetliť najmä zvláštnosťami jeho architektúry a príslušnej popularity. Veľké množstvo škodlivého softvéru zameraného na ekosystém Linux sa navyše primárne zameriava na kryptojacking a vytváranie botnetov na uskutočňovanie DDoS útokov.

EvilGnome je malware pre systém Linux

Vedci v oblasti bezpečnosti nedávno objavili nový spyvér zacielenie na Linux. Zdá sa, že malware je stále vo fáze vývoja a testovania, ale už obsahoval niekoľko škodlivých modulov určených na špehovanie používateľov.

Výskumný tím spoločnosti Intezer Labs, spoločnosti v oblasti kybernetickej bezpečnosti, odhalil vírus s názvom EvilGnome, ktorý má neobvyklé vlastnosti v porovnaní s väčšinou linuxového škodlivého softvéru, ktorý bol vynájdený a doteraz zostal nezistený popredným antivírusom na trhu.

Tento nový malware objavil „EvilGnome“ Bol navrhnutý na snímanie snímok obrazovky na pracovnej ploche, kradnutie súborov, snímanie zvukových záznamov z mikrofónu, ale tiež na stiahnutie a spustenie ďalších škodlivých modulov, a to všetko bez vedomia používateľa.

Verzia EvilGnome objavená spoločnosťou Intezer Labs na VirusTotal obsahovala aj funkcionalitu keyloggeru, čo naznačuje, že jej vývojár ju pravdepodobne omylom uviedol do režimu online.

Podľa vyšetrovateľov, EvilGnome je skutočný spyvér, ktorý sa vydáva za ďalšie rozšírenie fungujúce pod Gnome.

Tento spyvér je tvorený samorozbaľovacím skriptom vytvoreným pomocou „makeself“, malého shellového skriptu, ktorý generuje samorozbaľovací komprimovaný súbor tar z adresára.

Na cieľovom systéme pretrváva pomocou nástroja crontab, ktorý je podobný nástroju Windows Task Scheduler, a odcudzené používateľské údaje odosiela na vzdialený server ovládaný útočníkom.

„Perzistencia sa dosahuje registráciou súboru gnome-shell-ext.sh, ktorý beží v crontabu každú minútu. Nakoniec skript spustí súbor gnome-shell-ext.sh, ktorý následne spustí hlavný spustiteľný súbor gnome-shell-ext, “uviedli vedci.

O zložení EvilGnome

EvilGnome integruje päť škodlivých modulov nazývaných „Strelci“:

1. ShooterSound ktorá pomocou technológie PulseAudio zachytáva zvuk z mikrofónu používateľa a sťahuje údaje na server velenia a riadenia operátora.
2. Obrázok strelca pomocou ktorého modulu otvorená knižnica v Káhire vytvorí snímky obrazovky a nahrá ich na server C&C otvorením pripojenia k zobrazovaciemu serveru XOrg.
3. ShooterFile, ktorá používa zoznam filtrov na skenovanie súborového systému pre novovytvorené súbory a ich načítanie na server C&C.
4. ShooterPing ktorý prijíma nové príkazy zo servera C&C vrátane všetkých pohotovostných režimov strelcov.
5. Strelecký kľúč ktorý sa ešte len bude implementovať a používať, pravdepodobne nedokončený modul keyloggeru.

Tieto rôzne moduly šifrujú odoslané údaje a dešifrujú príkazy prijaté zo servera C&C pomocou kľúča RC5 „sdg62_AS.sa $ die3“ pomocou upravenej verzie ruskej knižnice otvoreného zdroja.

Vedci tiež našli väzby medzi EvilGnome a Gamaredon., údajná ruská skupina hrozieb, ktorá je aktívna minimálne od roku 2013 a zameriava sa na ľudí pracujúcich s ukrajinskou vládou.

Prevádzkovatelia EvilGnome využíva poskytovateľa hostingu, ktorý skupina Gamaredon využíva už rokya skupina ho naďalej používa.

"Myslíme si, že ide o predčasnú skúšobnú verziu." Očakávame, že v budúcnosti budú objavené a preskúmané nové verzie, čo by mohlo viesť k lepšiemu pochopeniu aktivít skupiny, “uzavreli vedci.

Na záver používateľom systému Linux, ktorí chcú skontrolovať, či nie sú infikovaní, odporúča skontrolovať adresár

~ / .cache / gnome-software / gnome-shell-rozšírenia

Pre spustiteľný súbor „Gnome-shell-ext“

Fuente: https://www.intezer.com/