EvilGnome ، جواسيس برمجيات خبيثة جديدة وتضع خلفية لمستخدمي Linux

DarkcriztActualizado ش

2 تعليقات

في وقت سابق من هذا الشهر ، اكتشف باحثو الأمن قطعة نادرة من برامج التجسس على نظام Linux والذي لم يتم اكتشافه بالكامل حاليًا في جميع برامج مكافحة الفيروسات الرئيسية و يتضمن وظائف نادرًا ما يتم رؤيتها بخصوص لمعظم البرامج الضارة التي تظهر على Linux.

وهذا كما يجب أن يعرف الكثير منكم أن البرمجيات الخبيثة في لينكس حرفيا جزء صغير من الحالات المعروفة في Windows ، بسبب هيكلها الأساسي وحصتها المنخفضة في السوق.

تركز البرامج الضارة المختلفة في بيئة Linux بشكل أساسي على التشفير لتحقيق مكاسب مالية وإنشاء شبكات DDoS عن طريق اختطاف الخوادم الضعيفة.

في السنوات الأخيرة ، حتى بعد الكشف عن نقاط ضعف خطيرة في أنواع مختلفة من أنظمة وبرامج تشغيل Linux ، فشل المتسللون في استغلال معظمها في هجماتهم.

بدلاً من ذلك ، يفضلون إطلاق هجمات التعدين المشهورة المعروفة لتحقيق مكاسب مالية وإنشاء شبكات DDoS من خلال اختطاف الخوادم الضعيفة.

حول EvilGnome

ومع ذلك ، اكتشف الباحثون في شركة Intezer Labs الأمنية مؤخرًا غرسة برامج ضارة جديدة تؤثر على توزيعات Linux يبدو أنه قيد التطوير ، ولكنه يتضمن بالفعل العديد من الوحدات الخبيثة للتجسس على مستخدمي سطح مكتب Linux.

الملقب بـ EvilGnome ، هذه البرامج الضارة في الداخل من وظائفه الرئيسية أخذ لقطات شاشة لسطح المكتب وسرقة الملفات، والتقاط التسجيلات الصوتية من ميكروفون المستخدم ، وكذلك تنزيل وتشغيل المزيد من وحدات المرحلة الثانية الخبيثة.

الاسم مستحق إلى وضع تشغيل الفيروس ذلك إنه يتنكر على أنه امتداد شرعي لبيئة جنوم لإصابة الهدف.

وفقًا لتقرير جديد نشرته Intezer Labs في عينة EvilGnome التي اكتشفتها على VirusTotal ، تحتوي أيضًا على وظيفة keylogger غير مكتملة ، مما يشير إلى أن مطورها قام بتحميلها عبر الإنترنت عن طريق الخطأ.

عملية العدوى

في البداية ، يقدم EvilGnome نصًا برمجيًا ذاتي الاستخراج يقوم بإنشاء أرشيف tar مضغوط استخراج ذاتي من دليل.

هناك 4 ملفات مختلفة تم تحديدها بالملف ،

  • gnome-shell-ext - وكيل التجسس القابل للتنفيذ
  • gnome-shell-ext.sh - يتحقق مما إذا كان gnome-shell-ext قيد التشغيل بالفعل وإذا لم يكن كذلك ، فقم بتشغيله
  • rtp.dat - ملف التكوين لـ gnome-shell-ext
  • setup.sh - البرنامج النصي للإعداد الذي يتم تشغيله من تلقاء نفسه بعد التفريغ

عند تحليل عامل التجسس ، اكتشف الباحثون أن النظام لم ير الرمز مطلقًا وأنه تم إنشاؤه بلغة C ++.

اكتشف الباحثون أنهم يعتقدون أن الجناة وراء EvilGnome هم Gamaredon Group حيث استخدمت البرامج الضارة موفر استضافة يستخدم Gamaredon Group لمدة عام ووجدوا عنوان IP لخادم C2 يحل مجالين ، اللعب والعمل.

باحثو إنتيزر الخوض في وكيل التجسس و ابحث عن خمس وحدات جديدة تسمى «الرماة» يمكنهم أداء أنشطة مختلفة باستخدام الأوامر المعنية.

  • مطلق النار- التقاط الصوت من ميكروفون المستخدم وتحميله إلى C2
  • ShooterImage: التقاط لقطات الشاشة وتحميلها إلى C2
  • ShooterFile: يقوم بمسح نظام الملفات بحثًا عن الملفات التي تم إنشاؤها حديثًا وتحميلها إلى C2
  • بينغ: يتلقى أوامر جديدة من C2
  • مفتاح مطلق النار: غير مطبق وغير مستخدم ، على الأرجح وحدة تدوين مفاتيح غير مكتملة

يعتقد الباحثون أن هذه نسخة تجريبية مبكرة. نتوقع أن يتم اكتشاف ومراجعة الإصدارات الجديدة في المستقبل ".

تقوم جميع الوحدات النمطية التي تعمل بتشفير بيانات الإخراج. بالإضافة إلى ذلك ، يقومون بفك تشفير أوامر الخادم من خلال مفتاح RC5 »sdg62_AS.sa $ die3«. يتم تنفيذ كل واحد مع موضوعه الخاص. الوصول إلى الموارد المشتركة محمي من خلال الاستثناءات المتبادلة. تم بناء البرنامج بالكامل حتى الآن بلغة C ++.

في الوقت الحالي ، تتمثل طريقة الحماية الوحيدة في التحقق يدويًا من ملف "gnome-shell-ext" القابل للتنفيذ في دليل "~ / .cache / gnome-software / gnome-shell-extension".


2 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   غييرمو قال
    منذ سنوات 5

    هل أنت متأكد من أن أحد أسباب قلة عدد الفيروسات على جنو / لينكس هو حصتها في السوق؟ هل تمتلك معظم خوادم الويب والبريد؟ لا ، السبب هو أن البرامج الرئيسية المستخدمة مجانية (يمكنك أخذ الكود وتجميعه وتوزيع الملفات التنفيذية) ومجانية ، إلى جانب حقيقة أنهما على بعد نقرتين من البحث والتثبيت مع مديري الحزم ، مما يجعل الأمر غريبًا أن شخصًا ما البحث عن البرامج وتنزيلها وتثبيتها من مواقع غريبة أو البحث عن برامج لتنشيطها. لهذا السبب لا توجد فيروسات ، يجب أن يدخل الفيروس في برنامج ضمن التوزيعات ، وعند تثبيت الجميع من نفس المكان ، إذا اكتشفه المرء تلقائيًا ، يعرفه الجميع تلقائيًا ويتم القضاء على مصدر المشكلة.

    الرد على Guillermo
  2.   غييرمو قال
    منذ سنوات 5

    الحصة هي كذبة تستخدمها Microsoft حتى يعتقد الناس أن التغيير إلى GNU / Linux لن يحل مشاكل الفيروسات الخاصة بهم لأنه سيكون هناك نفس المشكلة ، لكن هذا ليس صحيحًا ، GNU / Linux أقل قابلية للإلحاق من Windows لأسباب عديدة : لا يمكنك تشغيل برنامج بمجرد تنزيله من الإنترنت ، ولا يمكنك تشغيل مرفقات البريد الإلكتروني ، ولا يمكنك تشغيل البرامج تلقائيًا على أقراص USB بمجرد إدخالها ، وما إلى ذلك.

    الرد على Guillermo