Si 您以为Linux发行版已经过时了,也就是说,Linux中的病毒是一个神话, 让我告诉你,你完全错了。 普埃现实情况是,存在针对Linux平台的恶意软件 与Windows平台上大量的病毒相比,实际上这可以忽略不计。
可以通过其体系结构固有的特性及其各自的受欢迎程度来解释这种差异。 此外,针对Linux生态系统的大量恶意软件主要集中于加密劫持和创建僵尸网络以进行DDoS攻击。
EvilGnome Linux恶意软件
安全研究人员最近发现了一种新的间谍软件 针对Linux。 该恶意软件似乎仍处于开发和测试阶段, 但是它已经包含了几个恶意模块来监视用户。
网络安全公司Intezer Labs的研究小组 揭示了一种名为EvilGnome的病毒与大多数发明的Linux恶意软件相比,它具有不同寻常的特征,到目前为止,市场上领先的防病毒软件都没有发现它。
这个新的恶意软件发现了“ EvilGnome” 它旨在获取桌面屏幕截图,窃取文件,从麦克风捕获录音, 而且还会下载和运行其他恶意模块,而这一切都是在用户不知情的情况下进行的。
由Intezer Labs在VirusTotal上发现的EvilGnome版本还包含键盘记录器功能,表明其开发人员可能错误地将其联机。
根据研究人员, EvilGnome是一个真正的间谍软件,它伪装成可以在Gnome下工作的另一个扩展。
该间谍软件是使用“ makeself”创建的自解压缩脚本,makemake是一个小型shell脚本,可从目录生成自解压缩的tar文件。
它使用crontab(与Windows Task Scheduler类似的工具)保留在目标系统上,并将被盗的用户数据发送到由攻击者控制的远程服务器。
“持久性是通过注册gnome-shell-ext.sh在crontab中每分钟运行一次来实现的。 最后,该脚本运行gnome-shell-ext.sh,这反过来又启动了主要的可执行文件gnome-shell-ext。
关于EvilGnome的组成
EvilGnome集成了五个称为“ Shooters”的恶意模块:
- 射手之声 它使用PulseAudio从用户的麦克风捕获音频并将数据下载到操作员的命令和控制服务器。
- 射手图像 通过打开与XOrg显示服务器的连接,Cairo开源库使用哪个模块来截取屏幕截图并将其上传到C&C服务器。
- 射手档案,它使用过滤器列表来扫描文件系统中是否有新创建的文件,并将其上传到C&C服务器。
- 射手平 该命令会从C&C服务器(包括所有Shooters备用服务器)接收新命令。
- 射手钥匙 尚未实现和使用的键盘记录器模块可能尚未完成。
这些不同的模块使用俄罗斯开源库的修改版,使用RC5密钥“ sdg62_AS.sa $ die3”对发送的数据进行加密,并对从C&C服务器接收的命令进行解密。
研究人员还发现了EvilGnome和Gamaredon之间的联系。,这是一个怀疑的俄罗斯威胁组织,至少从2013年开始活跃,其目标是与乌克兰政府合作的人员。
的经营者 EvilGnome使用Gamaredon Group已使用多年的托管服务提供商,然后该小组继续使用它。
“我们认为这是一个过早的试用版。 研究人员总结说,我们预计将来会发现并审查新版本,这可能会导致人们对该小组的活动有更好的了解。
最后,建议要检查感染的Linux用户检查目录
〜/ .cache / gnome软件/ gnome-shell-extensions
对于可执行文件 “ Gnome-shell-ext”
数据来源: https://www.intezer.com/
然后,将tar解压缩,安装并赋予root权限即可实现。
我们是任何中等知识的Linux用户通常会做什么,对吗?
由于它被隐藏为GNOME的扩展,因此不太可能被其他桌面用户(例如KDE)下载