26 jul. 2019

EvilGnome: Backdoor que implanta spyware en Linux

Investigadores de seguridad de Intezer Labs han descubierto una pieza rara de spyware de Linux, e incluye funcionalidades que rara vez se ven en la mayoría de los programas maliciosos de Linux.

Es un hecho conocido que existen muy pocos malware de Linux en comparación con los existentes en Windows debido a su arquitectura central y también a su baja participación en el mercado, y muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.

Sin embargo, los investigadores ahora descubrieron recientemente un nuevo Backdoor que parece estar en fase de desarrollo y prueba, pero ya incluye varios módulos maliciosos para espiar a los usuarios de escritorio de Linux.

EvilGnome ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos en una segunda etapa.

De acuerdo con el informe que Intezer Labs la muestra de EvilGnome que descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo subió a la plataforma por error.

El malware se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus escritorios. Según los investigadores, el implante se entrega en forma de un shell script en un archivo autoextraíble creado con 'makeelf', un pequeño script que genera un archivo de TAR comprimido y auto extraíble.
El implante también gana persistencia en un sistema específico utilizando crontab. "La persistencia se logra registrando gnome-shell-ext.sh para ejecutar crontab cada minuto. Finalmente, el script ejecuta gnome-shell-ext.sh, que a su vez lanza el ejecutable principal".

Módulos de spyware de EvilGnome

El SpyAgent of EvilGnome contiene cinco módulos maliciosos llamados "Shooters", como se explica a continuación:
  • ShooterSound: este módulo utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de comando y control del operador.
  • ShooterImage: este módulo utiliza la biblioteca de código abierto de Cairo para realizar capturas de pantalla y cargarlas en el servidor de C&C. Lo hace abriendo una conexión con el servidor de visualización XOrg, que es el backend del escritorio de Gnome.
  • ShooterFile: este módulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos recién creados y los carga en el servidor de C&C.
  • ShooterPing: el módulo recibe nuevos comandos del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuración de tiempo de ejecución, exfiltrar la salida almacenada al servidor de C&C y detener la ejecución de cualquier módulo otro disparo.
  • ShooterKey: este módulo no está implementado ni se usa, lo que probablemente es un módulo de registro de teclas sin terminar.
En particular, todos los módulos anteriores cifran sus datos de salida y descifran los comandos recibidos del servidor C&C con la clave RC5 "sdg62_AS.sa$die3,", utilizando una versión modificada de una biblioteca de código abierto rusa.

Posible conexión EvilGnome y Gamaredon Hacking Group

Los investigadores también encontraron conexiones entre EvilGnome y Gamaredon Group, un presunto grupo de amenazas ruso que ha estado activo desde al menos 2013 y se ha dirigido a personas que trabajan con el gobierno ucraniano.
  • EvilGnome utiliza un proveedor de hosting que ha sido utilizado por el Grupo Gamaredon durante años y continúa siendo utilizado por este.
  • Se descubrió que EvilGnome también estaba operando en una dirección IP controlada por el grupo Gamaredon hace dos meses.
  • Los atacantes EvilGnome también están usando TTLD '.space' para sus dominios, al igual que el Grupo Gamaredon.
  • EvilGnome emplea técnicas y módulos, como el uso de SFX, la persistencia con el programador de tareas y la implementación de herramientas de robo de información, que recuerdan las herramientas de Windows del Grupo Gamaredon.

Detectar EvilGnome

Para verificar si su sistema Linux está infectado con el software espía EvilGnome se puede buscar el ejecutable "gnome-shell-ext" en el directorio "~ / .cache / gnome-software / gnome-shell-extensions".

"Esta es una versión de prueba prematura y probablemente se descubran nuevas versiones, lo que potencialmente podría arrojar más luz sobre las operaciones del grupo", concluyeron los investigadores.

Fuente: THN

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!