ЕвилГноме: нови малвер који шпијунира и утиче на Линук дистрибуцију

Спиваре-ЕвилГноме

Si мислили сте да су дистрибуције Линука изван шуме, то јест да је вирус у Линуку мит, рећи ћу вам да сте потпуно погрешили. ПуеСтварност је таква да постоји злонамерни софтвер који циља Линук платформе и заправо је ово занемарљиво у поређењу са великим бројем вируса којима обилује Виндовс платформа.

Ова разлика би се могла објаснити нарочито особеностима које су својствене његовој архитектури и њеној популарности. Поред тога, велика количина злонамерног софтвера који циља Линук екосустав првенствено је усредсређена на криптојацкање и стварање ботнет мрежа за извршавање ДДоС напада.

ЕвилГноме злонамерни софтвер за Линук

Истраживачи безбедности недавно су открили нови шпијунски софтвер циљајући Линук. Чини се да је злонамерни софтвер још увек у фази развоја и тестирања, али је већ укључивао неколико злонамерних модула за шпијунирање корисника.

Истраживачки тим у компанији Интезер Лабс, компанији за цибер сигурност, открио вирус, назван ЕвилГноме, који има необичне карактеристике у поређењу са већином Линук злонамерног софтвера који је измишљен и који је до сада остао неоткривен од стране водећег антивируса на тржишту.

Овај нови малвер открио је „ЕвилГноме“ Дизајниран је за снимање снимака екрана радне површине, крађу датотека, снимање аудио снимака из микрофона, али и за преузимање и покретање других злонамерних модула, а све без корисникова знања.

Верзија ЕвилГноме-а коју је на ВирусТотал-у открио Интезер Лабс такође је садржала функцију кеилоггер-а, што указује на то да га је програмер вероватно погрешно ставио на мрежу.

Према истраживачима, ЕвилГноме је прави шпијунски софтвер који се претвара да је још један додатак који ради под Гномом.

Овај шпијунски софтвер долази као самораспакујејућа се скрипта креирана са „макеселф“, малом скриптом љуске која генерише самораспакујућу компресовану тар датотеку из директоријума.

Опстаје на циљном систему помоћу цронтаб, алата сличног Виндовсовом планеру задатака, и шаље украдене корисничке податке на удаљени сервер који контролише нападач.

„Постојаност се постиже регистрацијом гноме-схелл-ект.сх за покретање сваког минута у цронтаб-у. Коначно, скрипта покреће гноме-схелл-ект.сх, што заузврат покреће главни извршни гноме-схелл-ект “, рекли су истраживачи.

О саставу ЕвилГноме-а

ЕвилГноме интегрише пет злонамерних модула названих „Стрелци“:

  1. СхоотерСоунд који користи ПулсеАудио за хватање звука из корисниковог микрофона и преузимање података на командни и управљачки сервер оператера.
  2. СхоотерИмаге који модул библиотека отвореног кода у Каиру користи за прављење снимака екрана и њихово постављање на Ц&Ц сервер отварањем везе са КСОрг сервером за приказ.
  3. СхоотерФиле, који користи листу филтера за скенирање система датотека за новостворене датотеке и њихово отпремање на Ц&Ц сервер.
  4. СхоотерПинг који прима нове команде са Ц&Ц сервера, укључујући све пуцаче у стању приправности.
  5. СхоотерКеи који тек треба да се примени и користи, вероватно недовршени модул кеилоггер-а.

Ови различити модули шифрују послате податке и дешифрују команде примљене са Ц&Ц сервера помоћу РЦ5 кључа „сдг62_АС.са $ дие3“ користећи модификовану верзију руске библиотеке отвореног кода.

Истраживачи су такође пронашли везе између ЕвилГноме-а и Гамаредона., наводне руске претње, која делује најмање од 2013. године и циља људе који раде са украјинском владом.

Оператори ЕвилГноме користи провајдера хостинга којег Гамаредон Гроуп користи већ годинама, а група наставља да га користи.

„Мислимо да је то преурањена пробна верзија. Очекујемо да ће нове верзије бити откривене и прегледане у будућности, што би могло довести до бољег разумевања активности групе “, закључили су истраживачи.

Коначно, Линук корисницима који желе да провере да ли су заражени саветује се да провере директоријум

~ / .цацхе / гноме-софтваре / гноме-схелл-екстензије

За извршну датотеку "Гноме-схелл-ект"

izvor: https://www.intezer.com/


2 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   ja дијо

    И то је постигнуто, распакујте тар, инсталирајте га и дајте му роот дозволе.
    Ми смо оно што обично ради сваки умерено информисани корисник Линука, зар не?

  2.   почетник дијо

    С обзиром да је скривен као проширење за ГНОМЕ, мало је вероватно да ће га преузети други радне површине, попут КДЕ-а