NOTÍCIAS

[ANONYMOUS][grids]

EvilGnome um novo espião backdoor par usuários de desktop Linux

EvilGnome: um novo espião de backdoor para espiões em usuários de desktop Linux

Pesquisadores de segurança descobriram uma rara parte do spyware do Linux que atualmente não é detectado em todos os principais produtos de software de segurança antivírus e inclui funcionalidades raramente vistas em relação à maioria dos malwares do Linux.

É um fato conhecido que há muito poucas cepas de malwares Linux no mundo, em comparação com os vírus do Windows por causa de sua arquitetura principal e também devido à sua baixa participação no mercado, e muitos deles nem sequer têm uma ampla gama. de funcionalidades.

Nos últimos anos, mesmo após a divulgação de vulnerabilidades críticas severas em vários tipos de sistemas operacionais Linux e software, os cibercriminosos não conseguiram aproveitar a maioria deles em seus ataques. Em vez de,

ataques de mineração com criptomoedas para ganho financeiro e criação de botnets DDoS ao sequestrar servidores vulneráveis.

No entanto, pesquisadores da empresa de segurança Intezer Labs descobriram recentemente um novo implante backdoor do Linux que parece estar em fase de desenvolvimento e teste, mas já inclui vários módulos maliciosos para espionar usuários de desktop Linux.

EvilGnome: Novo Spyware para Linux


Apelidado de EvilGnome , o malware foi projetado para capturar imagens da área de trabalho, roubar arquivos, capturar gravação de áudio do microfone do usuário, bem como baixar e executar outros módulos maliciosos de segundo estágio.

De acordo com um novo relatório que o Intezer Labs compartilhou antes de seu lançamento, a amostra do EvilGnome que ele descobriu no VirusTotal também contém uma funcionalidade de keylogger inacabada, o que indica que ele foi enviado por engano pelo desenvolvedor.



O malware EvilGnome se disfarça como uma legítima extensão do GNOME, um programa que permite aos usuários do Linux ampliar a funcionalidade de seus desktops.

De acordo com os pesquisadores, o implante é entregue na forma de um script de shell de arquivo auto-extraível criado com 'makeself', um pequeno script de shell que gera um arquivo tar compactado auto-extraível de um diretório.

O implante Linux também ganha persistência em um sistema alvo usando o crontab, similar ao agendador de tarefas do Windows, e envia dados de usuários roubados para um servidor controlado por um atacante remoto.

"A persistência é conseguida registrando gnome-shell-ext.sh para rodar a cada minuto no crontab. Finalmente, o script executa gnome-shell-ext.sh, que por sua vez inicia o executável principal gnome-shell-ext", disseram os pesquisadores. .

Módulos Spyware do EvilGnome


O Spy Agent do EvilGnome contém cinco módulos maliciosos chamados "Shooters", conforme explicado abaixo:

  • ShooterSound - este módulo usa o PulseAudio para capturar áudio do microfone do usuário e envia os dados para o servidor de comando e controle do operador.
  • ShooterImage - este módulo usa a biblioteca de código aberto Cairo para capturar capturas de tela e carregá-las para o servidor C & C. Ele faz isso abrindo uma conexão com o XOrg Display Server, que é o back-end para a área de trabalho do Gnome.
  • ShooterFile - este módulo usa uma lista de filtros para verificar o sistema de arquivos em busca de arquivos recém-criados e carrega-os no servidor C & C.
  • ShooterPing - o módulo recebe novos comandos do servidor C & C, como baixar e executar novos arquivos, definir novos filtros para verificação de arquivos, baixar e definir novas configurações de tempo de execução, exfiltrar saídas armazenadas para o servidor C & C e impedir que qualquer módulo de disparo seja executado.
  • ShooterKey - este módulo não é implementado nem usado, o que provavelmente é um módulo de keylogging inacabado.

Notavelmente, todos os módulos acima criptografam seus dados de saída e decripam comandos recebidos do servidor C & C com a chave RC5 "sdg62_AS.sa $ die3", usando uma versão modificada de uma biblioteca de código aberto russa.

Possível conexão entre o EvilGnome e o Gamaredon Hacking Group


Além disso, os pesquisadores também encontraram conexões entre o EvilGnome e o Gamaredon Group, um suposto grupo de ameaça russo que está ativo desde pelo menos 2013 e tem como alvo indivíduos que trabalham com o governo ucraniano.

Aqui abaixo, eu informei algumas das semelhanças entre o EvilGnome e o Gamaredon Group:

  • O EvilGnome usa um provedor de hospedagem que tem sido usado pelo Gamaredon Group há anos e continua a ser usado por ele.
  • O EvilGnome também está operando em um endereço IP que foi controlado pelo grupo Gamaredon há dois meses.
  • Invasores do EvilGnome também estão usando o TTLD '.space' para seus domínios, assim como o Grupo Gamaredon.
  • O EvilGnome emprega técnicas e módulos - como o uso de SFX, persistência com o agendador de tarefas e a implantação de ferramentas de roubo de informações - que lembram as ferramentas do Windows do Gamaredon Group.

Como detectar o Malware EvilGnome?


Para verificar se o seu sistema Linux está infectado com o spyware do EvilGnome, você pode procurar o executável "gnome-shell-ext" no diretório "~ / .cache / gnome-software / gnome-shell-extensions".

"Acreditamos que esta é uma versão de teste prematura. Antecipamos que novas versões sejam descobertas e analisadas no futuro, o que poderia lançar mais luz sobre as operações do grupo", concluem os pesquisadores.

Como os produtos antivírus e de segurança atualmente não conseguem detectar o malware EvilGnome, os pesquisadores recomendam aos administradores Linux interessados ​​que bloqueiem os endereços IP de Comando e Controle listados na seção IOC da postagem no blog do Intezer.