EvilGnome, nowe złośliwe oprogramowanie szpieguje i umieszcza backdoory dla użytkowników Linuksa

Na początku tego miesiąca badacze bezpieczeństwa odkryli rzadki element oprogramowania szpiegującego dla systemu Linux. który obecnie nie jest w pełni wykrywany we wszystkich głównych programach antywirusowych i zawiera rzadko spotykane funkcje dotyczące do większości złośliwego oprogramowania występującego w systemie Linux.

I jak wielu z was musi wiedzieć, że złośliwe oprogramowanie w Linuksie to dosłownie niewielki ułamek przypadków, które są znane w systemie Windows, ze względu na jego podstawową strukturę, a także niski udział w rynku.

Różne złośliwe programy w środowisku Linux koncentrują się głównie na kryptografii w celu uzyskania korzyści finansowych oraz tworzeniu botnetów DDoS poprzez przejmowanie podatnych na ataki serwerów.

W ostatnich latach, nawet po ujawnieniu poważnych krytycznych luk w różnych typach systemów operacyjnych Linux i oprogramowania, hakerzy nie zdołali wykorzystać większości z nich w swoich atakach.

Zamiast tego wolą przeprowadzać dobrze znane ataki wydobywające kryptowaluty w celu uzyskania korzyści finansowych i tworzenia botnetów DDoS poprzez przejmowanie wrażliwych serwerów.

O EvilGnome

Jednak badacze z firmy Intezer Labs zajmującej się bezpieczeństwem odkryli niedawno nowy implant złośliwego oprogramowania, który wpływa na dystrybucje Linuksa Wygląda na to, że jest w fazie rozwoju, ale zawiera już kilka złośliwych modułów do szpiegowania użytkowników komputerów stacjonarnych z systemem Linux.

Przydomek EvilGnome, to złośliwe oprogramowanie wewnątrz z jego głównych funkcji jest robienie zrzutów ekranu z pulpitu, kradzież plików, przechwytuj nagrania audio z mikrofonu użytkownika, a także pobierz i uruchom więcej złośliwych modułów drugiego etapu.

Imię jest należne do trybu działania wirusa, który Podszywa się pod legalne rozszerzenie środowiska Gnome, aby zainfekować cel.

Według nowego raportu udostępnionego przez Intezer Labs, próbka EvilGnome, którą odkrył w VirusTotal, zawiera również niedokończoną funkcjonalność keyloggera, co wskazuje, że jej twórca przez pomyłkę przesłał ją online.

Proces infekcji

Początkowo, EvilGnome dostarcza samorozpakowujący się skrypt, który generuje skompresowane archiwum tar samorozpakowujący się z katalogu.

Istnieją 4 różne pliki, które są identyfikowane z plikiem,

  • gnome-shell-ext - wykonywalny agent szpiegowski
  • gnome-shell-ext.sh - sprawdza, czy gnome-shell-ext już działa, a jeśli nie, uruchamia go
  • rtp.dat - plik konfiguracyjny dla gnome-shell-ext
  • setup.sh - skrypt instalacyjny, który działa samoczynnie po rozpakowaniu

Analizując agenta szpiegowskiego, naukowcy odkryli, że system nigdy nie widział kodu i został zbudowany w C ++.

Naukowcy odkryli, że uważają, że winowajcami EvilGnome są Gamaredon Group, ponieważ szkodliwe oprogramowanie korzystało z dostawcy hostingu korzystającego z Gamaredon Group przez rok i znalazło adres IP serwera C2, który rozwiązuje 2 domeny, platformę i element roboczy.

Badacze Intezera zagłębić się w agenta szpiegowskiego i znajdź pięć nowych modułów o nazwie „Strzelcy” Mogą wykonywać różne czynności za pomocą odpowiednich poleceń.

  • StrzelecDźwięk- Przechwytywanie dźwięku z mikrofonu użytkownika i przesyłanie do C2
  • Strzelec Obraz: przechwytywanie zrzutów ekranu i przesyłanie do C2
  • Plik strzelca: skanuje system plików w poszukiwaniu nowo utworzonych plików i przesyła je do C2
  • Strzelanka otrzymuje nowe polecenia od C2
  • StrzelecKlucz: nie zaimplementowany i nieużywany, najprawdopodobniej niedokończony moduł keyloggera

„Naukowcy uważają, że jest to przedwczesna wersja próbna. Przewidujemy, że nowe wersje zostaną odkryte i sprawdzone w przyszłości ”.

Wszystkie działające moduły szyfrują dane wyjściowe. Ponadto odszyfrowują polecenia serwera za pomocą klucza RC5 »sdg62_AS.sa $ die3«. Każdy jest wykonywany z własnym wątkiem. Dostęp do współdzielonych zasobów jest chroniony poprzez wzajemne wykluczenia. Cały program do tej pory został zbudowany w C ++.

Na razie jedyną metodą ochrony jest ręczne sprawdzenie pliku wykonywalnego „gnome-shell-ext” w katalogu „~ / .cache / gnome-software / gnome-shell-extensions”.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

2 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Guillermo powiedział

    Czy na pewno jednym z powodów mniejszej liczby wirusów w systemie GNU / Linux jest udział w rynku? Masz większość serwerów WWW i poczty? NIE, powodem jest to, że główne używane programy są darmowe (możesz pobrać kod, skompilować go i rozprowadzić pliki wykonywalne) i wolne, w połączeniu z faktem, że są dwa kliknięcia od ich wyszukiwania i instalacji za pomocą menedżerów pakietów, dzięki czemu dziwne jest, że ktoś znajduje, pobiera i instaluje programy z dziwnych witryn lub musi wyszukiwać programy, aby je aktywować. Dlatego nie ma wirusów, wirus musiałby wejść do programu w dystrybucjach, a instalując wszystkich z tego samego miejsca, jeśli wykryje się go automatycznie, wszyscy o tym wiedzą, a źródło problemu jest eliminowane.

  2.   Guillermo powiedział

    Kwota to kłamstwo, którego używa Microsoft, aby ludzie myśleli, że przejście na GNU / Linuksa nie rozwiązałoby ich problemów z wirusami, ponieważ byłoby to samo, ale to nieprawda, GNU / Linux jest znacznie mniej dający się podłączyć niż Windows z wielu powodów : Nie możesz uruchomić programu po prostu pobierając go z Internetu, nie możesz uruchamiać załączników do wiadomości e-mail, nie możesz automatycznie uruchamiać programów na pendrive'ach USB po prostu poprzez ich włożenie itp.