EvilGnome, novo malware espia e coloca backdoors para usuários Linux

Darkcrizt

Minutos 4

No início deste mês, pesquisadores de segurança descobriram uma peça rara de spyware do Linux que atualmente não é totalmente detectado em todos os principais antivírus e inclui funcionalidades raramente vistas sobre para a maioria dos malwares vistos no Linux.

E é que como muitos de vocês devem saber que o malware no Linux literalmente uma pequena fração dos casos que são conhecidos no Windows, devido à sua estrutura básica e também ao seu baixo market share.

Vários programas maliciosos no ambiente Linux se concentram principalmente na criptografia para ganho financeiro e na criação de botnets DDoS sequestrando servidores vulneráveis.

Nos últimos anos, mesmo após a revelação de vulnerabilidades críticas sérias em vários tipos de sistemas operacionais e software Linux, os hackers não conseguiram explorar a maioria deles em seus ataques.

Em vez disso, eles preferem lançar os ataques de mineração de criptomoedas já conhecidos para obter ganhos financeiros e a criação de botnets DDoS sequestrando servidores vulneráveis.

Sobre EvilGnome

No entanto, pesquisadores da empresa de segurança Intezer Labs descobriram recentemente um novo implante de malware que afeta distribuições Linux que Parece estar em desenvolvimento, mas já inclui vários módulos maliciosos para espionar usuários de desktop Linux.

Apelidado de EvilGnome, esse malware dentro de suas principais funções é tirar screenshots do desktop, roubar arquivos, captura gravações de áudio do microfone do usuário, bem como baixa e executa mais módulos de segundo estágio maliciosos.

O nome é devido para o modo de operação do vírus que ele se mascara como uma extensão legítima do ambiente Gnome para infectar o alvo.

De acordo com um novo relatório que o Intezer Labs compartilhou, a amostra do EvilGnome que descobriu no VirusTotal também contém a funcionalidade de keylogger inacabada, indicando que seu desenvolvedor o carregou online por engano.

Processo de infecção

Inicialmente EvilGnome oferece um script de extração automática criado por ele mesmo que gera um arquivo tar compactado auto-extraível de um diretório.

Existem 4 arquivos diferentes que são identificados com o arquivo,

  • gnome-shell-ext - o agente espião executável
  • gnome-shell-ext.sh - verifica se gnome-shell-ext já está rodando e se não, executa-o
  • rtp.dat - arquivo de configuração para gnome-shell-ext
  • setup.sh - o script de configuração que roda sozinho após a descompactação

Ao analisar o agente espião, os pesquisadores descobriram que o sistema nunca havia visto o código e que ele era construído em C ++.

Os pesquisadores descobriram que acreditam que os culpados por trás do EvilGnome são o Gamaredon Group, pois o malware usou um provedor de hospedagem usando o Gamaredon Group por um ano e encontrou um endereço IP do servidor C2 que resolve 2 domínios, gamework e workan.

Os pesquisadores do Intezer eles investigam o agente espião e encontre cinco novos módulos chamados «Shooters» Eles podem realizar diferentes atividades com os respectivos comandos.

  • Som de tiro- Capture áudio do microfone do usuário e envie para C2
  • AtiradorImagem: capture screenshots e envie para C2
  • AtiradorArquivo: verifica o sistema de arquivos em busca de arquivos recém-criados e os carrega para C2
  • AtiradorPing: recebe novos comandos de C2
  • Chave de tiro: não implementado e não utilizado, provavelmente um módulo de keylogging inacabado

“Os pesquisadores acreditam que esta é uma versão de teste prematura. Prevemos que novas versões serão descobertas e revisadas no futuro. "

Todos os módulos que estão em operação criptografam os dados de saída. Além disso, eles descriptografam os comandos do servidor por meio de uma chave RC5 »sdg62_AS.sa $ die3«. Cada um é executado com seu próprio thread. O acesso a recursos compartilhados é protegido por exclusões mútuas. Todo o programa até agora foi construído em C ++.

Por enquanto, o único método de proteção é verificar manualmente o executável "gnome-shell-ext" no diretório "~ / .cache / gnome-software / gnome-shell-extensions".


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Projeto de lei dito
    atrás Anos 5

    Tem certeza de que um dos motivos para menos vírus no GNU / Linux é sua participação no mercado? Tendo a maioria dos servidores de web e de e-mail? NÃO, a razão é que os principais programas utilizados são gratuitos (você pode pegar o código, compilá-lo e distribuir os executáveis) e gratuitos, aliado ao fato de estarem a dois cliques de sua busca e instalação com os gerenciadores de pacotes, tornando é estranho que alguém encontre, baixe e instale programas de sites estranhos ou tenha que procurar programas para ativá-los. Por isso não há vírus, o vírus teria que ir em um programa dentro das distribuições, e ao instalar todos do mesmo lugar, se alguém o descobrir automaticamente, todos saberão e a origem do problema será eliminada.

    Responder ao Guillermo
  2.   Projeto de lei dito
    atrás Anos 5

    A cota é uma mentira que a Microsoft usa para que as pessoas pensem que mudar para GNU / Linux não resolveria seus problemas de vírus porque haveria o mesmo, mas não é verdade, GNU / Linux é muito menos conectável que o Windows por vários motivos : Você não pode executar um programa apenas baixando-o da internet, não pode executar anexos de e-mail, não pode executar programas automaticamente em dispositivos USB apenas inserindo-os etc.

    Responder ao Guillermo