Los investigadores de la firma de
seguridad Intezer Labs descubrieron recientemente un nuevo implante de backdoor
de Linux que parece estar en fase de desarrollo, pero ya incluye varios módulos
maliciosos para espiar a los usuarios de este escritorio.
Funcionamiento de EvilGnome:
El malware en cuestión ha sido diseñado
para tomar capturas de pantalla de escritorio, robar archivos, capturar
grabaciones de audio desde el micrófono del usuario, así como descargar y
ejecutar más módulos maliciosos.
Segun informan los propios
investigadores de Intezer Labs, la muestra de EvilGnome que se descubrió en
VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que
indica que su desarrollador lo cargó en línea por error.
El malware se disfraza como una
extensión legítima de GNOME, un programa que permite a los usuarios de Linux
ampliar la funcionalidad de sus escritorios.
El implante de Linux también gana
persistencia en un sistema específico utilizando crontab, similar al
programador de tareas de Windows, y envía datos de usuario robados a un
servidor remoto controlado por un atacante.
Módulos utilizados:
· ShooterSound .- Este módulo utiliza PulseAudio
para capturar el audio del micrófono del usuario y carga los datos en el
servidor de C&C del operador.
·
ShooterImage .- Este módulo utiliza la biblioteca
de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el
servidor de C&C. Lo hace abriendo una conexión con el servidor de
visualización XOrg, que es el backend del escritorio de Gnome.
· ShooterFile .- Este módulo utiliza una lista de
filtros para escanear el sistema de archivos en busca de archivos recién
creados y los carga en el servidor de C&C.
· ShooterPing .- El módulo recibe nuevos comandos
del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer
nuevos filtros para el escaneo de archivos, descargar y establecer una nueva
configuración de tiempo de ejecución, exfiltrar la salida almacenada al
servidor de C&C y detener la ejecución de cualquier módulo de disparo.
· ShooterKey .- Este módulo no está implementado
ni se usa, lo que probablemente es un módulo de registro de teclas sin
terminar.
En particular, todos los módulos
anteriores cifran sus datos de salida y descifran los comandos recibidos del
servidor C&C con la clave RC5 «sdg62_AS.sa $ die3», utilizando una versión
modificada de una biblioteca de código abierto rusa.
¿Cómo detectar si estás infectado por
EvilGnome?
Para verificar si su sistema Linux
está infectado con el software espía EvilGnome, puede buscar el ejecutable «gnome-shell-ext»
en el directorio «~/.cache/gnome-software/gnome-shell-extensions«.
Dado que los productos de seguridad y
antivirus actualmente no detectan el malware EvilGnome, los investigadores
recomiendan a los administradores de Linux preocupados que bloqueen las
direcciones IP de Comando y Control enumeradas en la sección IOC de la
publicación del blog de Intezer.
Más información:
·
EvilGnome:
Rare Malware Spying on Linux Desktop Users https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/
·
Muestra
EvilGnome en VirusTotal https://www.virustotal.com/gui/file/7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869/detection
Fuente: Hispasec