EvilGnome, नए मैलवेयर जासूसी करते हैं और लिनक्स उपयोगकर्ताओं के लिए बैकडोर रखते हैं

इस महीने की शुरुआत में सुरक्षा शोधकर्ताओं ने लिनक्स स्पाइवेयर का एक दुर्लभ टुकड़ा खोजा था जो वर्तमान में सभी प्रमुख एंटीवायरस में पूरी तरह से पता नहीं लगाया गया है इसमें ऐसी विशेषताएं शामिल हैं जिनके बारे में बहुत कम देखा जाता है अधिकांश मैलवेयर जो लिनक्स पर देखे गए हैं।

और जैसा कि आप में से बहुत से लोग जानते होंगे, लिनक्स पर मैलवेयर वस्तुतः विंडोज़ पर ज्ञात मामलों के एक छोटे से हिस्से के लिए जिम्मेदार होता है, इसकी मूल संरचना और इसकी कम बाजार हिस्सेदारी के कारण।

लिनक्स वातावरण में विभिन्न मैलवेयर मुख्य रूप से वित्तीय लाभ के लिए क्रिप्टोग्राफी पर ध्यान केंद्रित करते हैं और कमजोर सर्वरों को हाईजैक करके DDoS बॉटनेट बनाते हैं।

हाल के वर्षों में, विभिन्न प्रकार के लिनक्स ऑपरेटिंग सिस्टम और सॉफ्टवेयर में गंभीर गंभीर कमजोरियों के खुलासे के बाद भी, हैकर्स अपने हमलों में उनमें से अधिकांश का फायदा उठाने में विफल रहे।

इसके बजाय, वे वित्तीय लाभ के लिए प्रसिद्ध क्रिप्टोकरेंसी माइनिंग हमलों को लॉन्च करना पसंद करते हैं और कमजोर सर्वरों को हाईजैक करके DDoS बॉटनेट का निर्माण करते हैं।

इविलग्नोम के बारे में

हालाँकि, सुरक्षा फर्म इंटेज़र लैब्स के शोधकर्ताओं ने हाल ही में एक नया मैलवेयर इम्प्लांट खोजा है जो लिनक्स वितरण को प्रभावित करता है ऐसा प्रतीत होता है कि यह विकास के चरण में है, लेकिन इसमें लिनक्स डेस्कटॉप उपयोगकर्ताओं की जासूसी करने के लिए पहले से ही कई दुर्भावनापूर्ण मॉड्यूल शामिल हैं।

उपनाम एविलग्नोम, यह मैलवेयर अंदर है इसका एक मुख्य कार्य डेस्कटॉप स्क्रीनशॉट लेना, फ़ाइलें चुराना है, उपयोगकर्ता के माइक्रोफ़ोन से ऑडियो रिकॉर्डिंग कैप्चर करें, साथ ही दूसरे चरण के अधिक दुर्भावनापूर्ण मॉड्यूल डाउनलोड और निष्पादित करें।

नाम देय है वायरस के संचालन के तरीके के लिए यह लक्ष्य को संक्रमित करने के लिए गनोम पर्यावरण के वैध विस्तार के रूप में सामने आता है।

एक नई रिपोर्ट के अनुसार, इंटेज़र लैब्स ने वायरसटोटल पर खोजे गए एविलगनोम नमूने को साझा किया है, जिसमें अधूरी कीलॉगर कार्यक्षमता भी शामिल है, जो दर्शाता है कि इसके डेवलपर ने गलती से इसे ऑनलाइन अपलोड कर दिया है।

संक्रमण प्रक्रिया

शुरू में, EvilGnome स्वयं द्वारा बनाई गई एक स्व-निकालने वाली स्क्रिप्ट वितरित करता है जो एक संपीड़ित टार फ़ाइल उत्पन्न करता है निर्देशिका से स्वत: हटाने योग्य।

4 अलग-अलग फ़ाइलें हैं जिन्हें फ़ाइल से पहचाना जाता है,

• gnome-shell-ext - जासूसी एजेंट निष्पादन योग्य
• gnome-shell-ext.sh - जाँचता है कि क्या gnome-shell-ext पहले से चल रहा है और यदि नहीं, तो इसे चलाता है
• rtp.dat - gnome-shell-ext के लिए कॉन्फ़िगरेशन फ़ाइल
• setup.sh - सेटअप स्क्रिप्ट जो अनपॅकिंग के बाद स्वयं चलती है

जासूसी एजेंट का विश्लेषण करते समय, शोधकर्ताओं ने पाया कि सिस्टम ने कभी भी कोड नहीं देखा था और यह C++ में बनाया गया था।

शोधकर्ताओं ने पाया कि उनका मानना ​​है कि EvilGnome के पीछे के लोग Gamaredon Group हैं क्योंकि मैलवेयर ने एक होस्टिंग प्रदाता का उपयोग किया था जिसे Gamaredon Group एक साल से उपयोग कर रहा है और उन्हें एक C2 सर्वर IP पता मिला जो 2 डोमेन, गेमवर्क और वर्कान को हल करता है।

इंटेज़र शोधकर्ता वे जासूसी एजेंट और में गहराई से उतरते हैं उन्हें "शूटर्स" नामक पांच नए मॉड्यूल मिले जो संबंधित कमांड के साथ विभिन्न गतिविधियां कर सकता है।

• निशानेबाज- उपयोगकर्ता के माइक्रोफ़ोन से ऑडियो कैप्चर करता है और उसे C2 पर अपलोड करता है
• निशानेबाज छवि: स्क्रीनशॉट कैप्चर करें और C2 पर अपलोड करें
• निशानेबाजफ़ाइल: नई बनाई गई फ़ाइलों के लिए फ़ाइल सिस्टम को स्कैन करता है और उन्हें C2 पर अपलोड करता है
• शूटरपिंग: C2 से नए आदेश प्राप्त करता है
• शूटरकी: लागू नहीं किया गया और अप्रयुक्त, संभवतः एक अधूरा कीलॉगिंग मॉड्यूल

“शोधकर्ताओं का मानना ​​है कि यह समयपूर्व परीक्षण है। हमारा अनुमान है कि भविष्य में नए संस्करण खोजे जाएंगे और संशोधित किए जाएंगे।"

संचालन में मौजूद सभी मॉड्यूल आउटपुट डेटा को एन्क्रिप्ट करते हैं. इसके अतिरिक्त, वे RC5 कुंजी "sdg62_AS.sa$die3" के माध्यम से सर्वर कमांड को डिक्रिप्ट करते हैं। प्रत्येक को अपने स्वयं के धागे से निष्पादित किया जाता है। साझा संसाधनों तक पहुंच म्यूटेक्स के माध्यम से सुरक्षित है. अब तक का पूरा प्रोग्राम C++ में बनाया गया था।

अभी के लिए, एकमात्र सुरक्षा विधि "~/.cache/gnome-software/gnome-shell-extensions" निर्देशिका में निष्पादन योग्य "gnome-shell-ext" को मैन्युअल रूप से जांचना है।