fbpx

EVILGNOME, LO SPIWARE SU LINUX

Notoriamente esistono molti meno malware su Linux rispetto a Windows, per la sua struttura di base e anche per la sua bassa quota di mercato. Diversi malware presenti in ambiente Linux si concentrano principalmente sul cryptomining (interesse spostato dai Ransomware) per guadagni finanziari e sulla creazione di algoritmi DDoS dirottando i server vulnerabili.

I ricercatori di sicurezza informatica di Intezer Labs hanno scoperto una nuova backdoor che sembra essere in fase di sviluppo, ma già include diversi moduli dannosi in grado di spiare gli utenti di Linux. E lo fa in modo decisamente invasivo…

I ricercatori di sicurezza informatica hanno scoperto un nuovo tipo di spyware su Linux. EvilGnome non è attualmente rilevabile dai principali software antivirus e include funzioni anomale, che raramente sono presenti nella maggior parte dei malware presenti su Linux.


EvilGnome: nuovo Malware su Linux

Lo spyware è stato progettato per acquisire schermate di desktop, rubare file, acquisire registrazioni audio dal microfono, nonché scaricare ed eseguire ulteriori moduli malevoli di secondo livello.


E' SOLO UN INIZIO...?

Secondo un nuovo report di Intezer Labs, il campione di EvilGnome scoperto su VirusTotal contiene anche una funzionalità di keylogger incompleta, ciò sta ad indicare che c’è stato un errore di caricamento da parte del suo sviluppatore. EvilGnome si maschera da estensione GNOME legittima – che contiene comuni programmi di Linux. Invece, è causa di gravi problemi di sicurezza informatica per gli utenti che la installano.

Secondo i ricercatori, l’installazione è recapitata sotto forma di shell script di archivio autoestraente creato con “makeself”, un piccolo script di shell che genera un archivio tar compresso auto-estraibile da una directory.

Moduli Spyware di EvilGnome

Lo spy agent di EvilGnome contiene cinque moduli dannosi chiamati Shooters:

ShooterSound: utilizza PulseAudio per acquisire l’audio dal microfono dell’utente e caricare i dati sul server di C & C dell’operatore.

ShooterImage: utilizza la library open source Cairo per catturare screenshot e caricarli sul server C & C. Lo fa aprendo una connessione a XOrg Display Server, che è il backend del desktop Gnome.

ShooterFile: utilizza un elenco di filtri per scansionare il file system per i file appena creati e caricarli sul server C & C.

ShooterPing: il modulo riceve nuovi comandi dal server C & C, come scaricare ed eseguire nuovi file, impostare nuovi filtri per la scansione dei file, scaricare e impostare nuove configurazioni di runtime, esportare l’output memorizzato sul server C & C e interrompere l’esecuzione di qualsiasi modulo sparatutto.

ShooterKey: questo modulo non è implementato e inutilizzato, che molto probabilmente è un modulo di keylogging incompleto.

Tutti i moduli sopra citati codificano i loro dati di output e decodificano i comandi ricevuti dal server C & C con la chiave RC5 sdg62_AS.sa $ die3“, utilizzando una versione modificata di una library open source.

"La persistenza si ottiene registrando gnome-shell-ext.sh per eseguire ogni minuto in crontab. Infine, lo script esegue gnome-shell-ext.sh, che a sua volta lancia l’eseguibile principale gnome-shell-ext
Intezer Labs

Per ora pare un tentativo piuttosto goffo, ma le intenzioni sembrano “buone”…nel senso tecnico. 

Non si conoscono ancora gli sviluppi, ma sembra che ci siano in atto collaborazioni, se così possiamo chiamarle, tra gruppi diversi di hacker.

Un gruppo hacker “coinvolto”

I ricercatori di Intezer Labs hanno anche trovato collegamenti tra EvilGnome e Gamaredon Group, un presunto gruppo di hacker russo attivo dal 2013, noto per aver preso di mira persone che lavorano con il governo ucraino.

Quali sono i collegamenti più macroscopici tra EvilGnome e il gruppo russo: 

  • EvilGnome utilizza un provider di hosting che è stato utilizzato da Gamaredon per anni e continua ancora ad essere utilizzato.
  • I ricercatori hanno scoperto che il malware lavora ad un indirizzo IP controllato dal gruppo Gamaredon qualche mese fa.
  • Anche gli autori di attacchi EvilGnome utilizzano TTLD “.space” per i loro domini, proprio come Gamaredon.
  • EvilGnome impiega tecniche e moduli, come l’uso di SFX, la persistenza con l’utilità di pianificazione e l’implementazione di strumenti per il furto di informazioni, che ricordano gli strumenti Windows del gruppo.

Individuazione di EvilGnome

Il nuovo virus sembra promettere diverse fatiche ma, per ora, la sua invadenza sulla carta viene sconfitta dalla semplicità di individuazione. Se si intende verificare che il nostro sistema Linux sia stato infettato dallo spyware EvilGnome, basterà avviare l’eseguibile “gnome-shell-ext” nella directory “~ / .cache / gnome-software / gnome-shell-extensions“. 


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *