Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новый вредонос EvilGnome шпионит за пользователями Linux

18/07/19

evil gnomeЭксперты по кибербезопасности обнаружили редкое шпионское ПО, направленное на компрометацию данных пользователей Linux. В настоящее время вредонос не удается обнаружить с помощью основных антивирусных программ. По словам исследователей из Intezer Labs, получившее название EvilGnome шпионское ПО включает в себя редкие для Linux-вредоносов функциональные возможности.

По сравнению с количеством нацеленных на Windows вредоносов Linux не может похвастаться такой "популярностью". Существует очень мало вредоносных программ для Linux, большинство из которых даже не имеют широкого спектра функциональных возможностей. Нацеленные на экосистему Linux вредоносы чаще всего сфокусированы на криптомайнинге и создании DDoS-ботнетов путем захвата уязвимых серверов.

Тем не менее, исследователи из Intezer Labs недавно обнаружили новый встраиваемый бэкдор для Linux, который, вероятнее всего, в настоящее время находится на стадии разработки и тестирования, однако уже содержит несколько вредоносных модулей для слежки за пользователями настольных компьютеров на базе Linux.

Вредонос EvilGnome способен делать скниншоты, похищать файлы, записывать звук с микрофона, а также загружать и запускать дополнительные вредоносные модули.

Вредоносное ПО EvilGnome маскируется под официальное расширение GNOME, позволяющее пользователям Linux расширять функциональные возможности рабочего стола. EvilGnome распространяется в виде самораспаковывающегося заархивированного шелл-скрипта, созданного с помощью "makeself" - небольшого шелл-скрипта, генерирующего самораспаковывающийся сжатый .tar-архив из папки.

EvilGnome содержит пять вредоносных модулей под общим названием Shooters. В частности модуль ShooterSound использует PulseAudio для записи звука микрофона. Модуль ShooterImage использует библиотеку Cairo с открытым исходным кодом для создания скриншотов. Модуль ShooterFile использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов. Модуль ShooterPing получает новые команды с C&C-сервера злоумышленника, такие как загрузка и выполнение новых файлов, установка новых фильтров и пр. Модуль ShooterKey может использоваться для кейлоггинга, но пока он не задействован. Вероятнее всего, модуль находится на стадии разработки.

Исследователи также обнаружили связь между EvilGnome и хакерской группировкой Gamaredon Group, предположительно связанной с РФ. Группа активна с 2013 года и известна атаками на связанных с правительством Украины лиц.

Поскольку антивирусные программы и системы безопасности пока не могут обнаружить вредоносное ПО EvilGnome, исследователи рекомендуют пользователям настояльных компьютеров на базе Linux заблокировать IP-адреса управляющих серверов, перечисленные в разделе IOC в блоге Intezer Labs.

Темы:LinuxУгрозыIntezer LabsКиберугрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...