A principios de este mes investigadores de seguridad descubrieron una pieza rara de spyware de Linux que actualmente no se ha detectado completamente en todos los principales antivirus e incluye funcionalidades que rara vez se ven con respecto a la mayorĆa de los malware que se han visto en Linux.
Y es que como muchos de ustedes deben saber que el malware en Linux literalmente una pequeƱa fracciĆ³n de los casos que se conocen en Windows, debido a su estructura bĆ”sica y tambiĆ©n a su baja participaciĆ³n de mercado.
Varios programas maliciosos en el entorno de Linux se centran principalmente en la criptografĆa para obtener ganancias financieras y en la creaciĆ³n de redes de bots DDoS mediante el secuestro de servidores vulnerables.
En los Ćŗltimos aƱos, incluso despuĆ©s de la revelaciĆ³n de graves vulnerabilidades crĆticas en varios tipos de sistemas operativos y software Linux, los hackers no lograron aprovechar la mayorĆa de ellos en sus ataques.
En lugar de ello prefieren lanzar los ya conocidos ataques de minerĆa criptomonedas para obtener ganancias financieras y la creaciĆ³n de redes de bots DDoS mediante el secuestro de servidores vulnerables.
Sobre EvilGnome
Sin embargo, los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente un nuevo implante malware que afecta a las distribuciones de Linux que parece estar en fase de desarrollo, pero ya incluye varios mĆ³dulos maliciosos para espiar a los usuarios de escritorio de Linux.
Apodado EvilGnome, este malware dentro de sus principales funciones esta el tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrĆ³fono del usuario, asĆ como descargar y ejecutar mĆ”s mĆ³dulos maliciosos de segunda etapa.
El nombre se debe al modo de operaciĆ³n del virus que se enmascara como una extensiĆ³n legĆtima del entorno Gnome para infectar el objetivo.
De acuerdo con un nuevo informe que Intezer Labs compartiĆ³ la muestra de EvilGnome que descubriĆ³ en VirusTotal tambiĆ©n contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargĆ³ en lĆnea por error.
Proceso de infecciĆ³n
Inicialmente, EvilGnome entrega un script autoextraĆble creado con Ć©l mismo que genera un archivo de tar comprimido auto extraĆble de un directorio.
Hay 4 archivos diferentes que se identifican con el archivo,
- gnome-shell-ext ā el agente espĆa ejecutable
- gnome-shell-ext.sh ā comprueba si gnome-shell-ext ya se estĆ” ejecutando y, si no, lo ejecuta
- rtp.dat ā archivo de configuraciĆ³n para gnome-shell-ext
- setup.sh ā el script de configuraciĆ³n que se ejecuta por sĆ mismo despuĆ©s de desempaquetar
Al analizar el agente espĆa, los investigadores descubrieron que el sistema nunca habĆa visto el cĆ³digo y que se construyĆ³ en C ++.
Los investigadores descubrieron creen que los responsables que estaban detrĆ”s de EvilGnome son Gamaredon Group ya que el malware utilizaban un proveedor de hosting que utiliza Gamaredon Group durante un aƱo y encontraron una direcciĆ³n IP de servidor C2 que resuelve 2 dominios, gamework y workan.
Los investigadores de Intezer profundizan en el agente espĆa y encuentran cinco nuevos mĆ³dulos llamados Ā«ShootersĀ» que pueden realizar diferentes actividades con los comandos respectivos.
- ShooterSound: captura el audio del micrĆ³fono del usuario y lo carga a C2
- ShooterImage: captura capturas de pantalla y carga a C2
- ShooterFile: escanea el sistema de archivos en busca de archivos reciƩn creados y los carga a C2
- ShooterPing: recibe nuevos comandos de C2
- ShooterKey: no implementado y sin uso, muy probablemente un mĆ³dulo de keylogging sin terminar
āLos investigadores creen que esta es una versiĆ³n de prueba prematura. Anticipamos que nuevas versiones serĆ”n descubiertas y revisadas en el futuro.Ā»
Todos los mĆ³dulos que estĆ”n en operaciĆ³n cifran los datos de salida. AdemĆ”s, descifran los comandos del servidor a travĆ©s de una clave RC5 Ā» sdg62_AS.sa $ die3 Ā«. Cada uno es ejecutado con su propio hilo. El acceso a los recursos compartidos estĆ” protegido a travĆ©s de exclusiones mutuas. Todo el programa hasta ahora fue construido en C ++.
Por ahora, el Ćŗnico mĆ©todo de protecciĆ³n es verificar manualmente el ejecutable Ā» gnome-shell-ext Ā» en el directorio Ā«~ / .cache / gnome-software / gnome-shell-extensionsĀ» .