EvilGnome,新的惡意軟件間諜並為Linux用戶提供後門

本月初,安全研究人員發現了一種罕見的Linux間諜軟件。 目前尚未在所有主要的防病毒軟件中完全檢測到 包含有關以下方面的罕見功能 到Linux上看到的大多數惡意軟件。

而且是你們中的許多人都必須知道,由於Linux的基本結構以及較低的市場份額,Linux中的惡意軟件實際上僅佔Windows中已知案例的一小部分。

Linux環境中的各種惡意程序主要關注加密,以牟取經濟利益,並通過劫持易受攻擊的服務器來創建DDoS殭屍網絡。

近年來,即使在各種類型的Linux操作系統和軟件中都顯示出嚴重的嚴重漏洞之後,黑客仍無法在攻擊中利用其中的大多數漏洞。

相反,他們更喜歡通過劫持易受攻擊的服務器來發動眾所周知的加密貨幣挖掘攻擊,以獲取經濟利益並創建DDoS殭屍網絡。

關於EvilGnome

但是,安全公司Intezer Labs的研究人員最近發現了一種新的惡意軟件植入物,該植入物會影響Linux發行版, 它似乎正在開發中,但是它已經包含了幾個惡意模塊以監視Linux桌面用戶。

綽號EvilGnome, 裡面的這個惡意軟件 它的主要功能是獲取桌面屏幕截圖,竊取文件,從用戶的麥克風捕獲錄音,以及下載並運行更多惡意的第二階段模塊。

這個名字是由於 到病毒的運行方式 它偽裝成Gnome環境的合法擴展來感染目標。

根據Intezer Labs共享的一份新報告,它在VirusTotal上發現的EvilGnome示例還包含未完成的鍵盤記錄程序功能,表明其開發人員錯誤地將其在線上傳。

感染過程

最初, EvilGnome提供了一個自解壓縮腳本,該腳本生成壓縮的tar存檔 從目錄中自解壓。

該文件標識了4個不同的文件,

  • gnome-shell-ext-可執行的間諜代理
  • gnome-shell-ext.sh-檢查gnome-shell-ext是否已在運行,如果未運行,則運行它
  • rtp.dat-gnome-shell-ext的配置文件
  • setup.sh-解壓縮後自行運行的安裝腳本

在分析間諜代理時,研究人員發現該系統從未看到過該代碼,並且它是用C ++構建的。

研究人員發現,他們認為EvilGnome背後的罪魁禍首是Gamaredon Group,因為該惡意軟件使用了Gamaredon Group的託管服務提供商長達一年,並發現了一個可解析2個域(遊戲和工作域)的C2服務器IP地址。

Intezer研究人員 他們鑽探間諜特工, 找到五個名為“射擊者”的新模塊 他們可以使用相應的命令執行不同的活動。

  • 射手之聲-從用戶麥克風捕獲音頻並上傳到C2
  • ShooterImage: 捕獲屏幕截圖並上傳到C2
  • ShooterFile: 掃描文件系統以查找新創建的文件,並將其上傳到C2
  • ShooterPing: 從C2接收新命令
  • ShooterKey: 未實現和未使用,很可能是未完成的按鍵記錄模塊

研究人員認為這是一個過早的試用版。 我們希望將來會發現並審查新版本。”

運行中的所有模塊都對輸出數據進行加密。 此外,它們還通過RC5密鑰»sdg62_AS.sa $ die3«解密服務器命令。 每個線程都有自己的線程執行。 通過互斥保護對共享資源的訪問。 到目前為止,整個程序都是用C ++構建的。

目前,唯一的保護方法是手動檢查“〜/ .cache / gnome-software / gnome-shell-extensions”目錄中的“ gnome-shell-ext”可執行文件。


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

2條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   吉列爾莫 他說:

    您確定在GNU / Linux上減少病毒的原因之一是其市場份額嗎? 擁有大多數的網絡和郵件服務器? 否,原因是所使用的主要程序是免費的(您可以獲取代碼,對其進行編譯並分發可執行文件)和免費的,再加上它們與軟件包管理器的搜索和安裝相距僅兩步,這使某人感到奇怪從稀有站點中查找,下載和安裝程序,或者必須搜索程序來激活它們。 這就是為什麼沒有病毒的原因,該病毒必須放入發行版中的程序中,並且當從同一位置安裝每個人時,如果一個人自動發現它,則每個人都知道它,並且消除了問題根源。

  2.   吉列爾莫 他說:

    配額問題是微軟使用的一種謊言,因此人們認為更改為GNU / Linux不會解決他們的病毒問題,因為會存在相同的問題,但事實並非如此,由於許多原因,GNU / Linux與Windows的連接性較差:您不能僅通過從互聯網下載程序來運行程序,不能運行電子郵件附件,僅插入插入程序就不能在USB記憶棒上自動運行程序,等等。