A principios de este mes investigadores de seguridad descubrieron una pieza rara de spyware de Linux que actualmente no se ha detectado completamente en todos los principales antivirus e incluye funcionalidades que rara vez se ven con respecto a la mayoría de los malware que se han visto en Linux.
Y es que como muchos de ustedes deben saber que el malware en Linux literalmente una pequeña fracción de los casos que se conocen en Windows, debido a su estructura básica y también a su baja participación de mercado.
Varios programas maliciosos en el entorno de Linux se centran principalmente en la criptografía para obtener ganancias financieras y en la creación de redes de bots DDoS mediante el secuestro de servidores vulnerables.
En los últimos años, incluso después de la revelación de graves vulnerabilidades críticas en varios tipos de sistemas operativos y software Linux, los hackers no lograron aprovechar la mayoría de ellos en sus ataques.
En lugar de ello prefieren lanzar los ya conocidos ataques de minería criptomonedas para obtener ganancias financieras y la creación de redes de bots DDoS mediante el secuestro de servidores vulnerables.
Sobre EvilGnome
Sin embargo, los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente un nuevo implante malware que afecta a las distribuciones de Linux que parece estar en fase de desarrollo, pero ya incluye varios módulos maliciosos para espiar a los usuarios de escritorio de Linux.
Apodado EvilGnome, este malware dentro de sus principales funciones esta el tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos de segunda etapa.
El nombre se debe al modo de operación del virus que se enmascara como una extensión legítima del entorno Gnome para infectar el objetivo.
De acuerdo con un nuevo informe que Intezer Labs compartió la muestra de EvilGnome que descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargó en línea por error.
Proceso de infección
Inicialmente, EvilGnome entrega un script autoextraíble creado con él mismo que genera un archivo de tar comprimido auto extraíble de un directorio.
Hay 4 archivos diferentes que se identifican con el archivo,
- gnome-shell-ext – el agente espía ejecutable
- gnome-shell-ext.sh – comprueba si gnome-shell-ext ya se está ejecutando y, si no, lo ejecuta
- rtp.dat – archivo de configuración para gnome-shell-ext
- setup.sh – el script de configuración que se ejecuta por sí mismo después de desempaquetar
Al analizar el agente espía, los investigadores descubrieron que el sistema nunca había visto el código y que se construyó en C ++.
Los investigadores descubrieron creen que los responsables que estaban detrás de EvilGnome son Gamaredon Group ya que el malware utilizaban un proveedor de hosting que utiliza Gamaredon Group durante un año y encontraron una dirección IP de servidor C2 que resuelve 2 dominios, gamework y workan.
Los investigadores de Intezer profundizan en el agente espía y encuentran cinco nuevos módulos llamados «Shooters» que pueden realizar diferentes actividades con los comandos respectivos.
- ShooterSound: captura el audio del micrófono del usuario y lo carga a C2
- ShooterImage: captura capturas de pantalla y carga a C2
- ShooterFile: escanea el sistema de archivos en busca de archivos recién creados y los carga a C2
- ShooterPing: recibe nuevos comandos de C2
- ShooterKey: no implementado y sin uso, muy probablemente un módulo de keylogging sin terminar
“Los investigadores creen que esta es una versión de prueba prematura. Anticipamos que nuevas versiones serán descubiertas y revisadas en el futuro.»
Todos los módulos que están en operación cifran los datos de salida. Además, descifran los comandos del servidor a través de una clave RC5 » sdg62_AS.sa $ die3 «. Cada uno es ejecutado con su propio hilo. El acceso a los recursos compartidos está protegido a través de exclusiones mutuas. Todo el programa hasta ahora fue construido en C ++.
Por ahora, el único método de protección es verificar manualmente el ejecutable » gnome-shell-ext » en el directorio «~ / .cache / gnome-software / gnome-shell-extensions» .
¿Seguro que una razón para que haya menos virus en GNU/Linux es su cuota de mercado? ¿Teniendo la mayor parte de servidores webs y de correo? NO, la razón es que los principales programas usados son libres (se puede coger el código, compilarlo y distribuir los ejecutables) y gratuitos, unido a que están a dos clics de su búsqueda e instalación con los gestores de paquetes, haciendo raro que alguien busque, descargue e instale programas de sitios raros o tenga que buscar programas para activarlos. Por eso no hay virus, el virus tendría que ir en un programa dentro de las distribuciones, y al instalar todo el mundo desde el mismo lugar, si uno lo descubre automáticamente todos lo saben y se elimina la fuente del problema.
Lo de la cuota es una mentira que usa Microsoft para que la gente piense que cambiando a GNU/Linux no se solucionarían sus problemas de virus porque habría los mismos, pero no es verdad, GNU/Linux es mucho menos atacable que Windows por muchas razones: no se puede ejecutar un programa solo por descargarlo de internet, no se pueden ejecutar adjuntos de correos, no se pueden autoejecutar programas en los pendrives solo por insertarlos, etc.