+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Intezer Labs виявила рідкісне шпигунське програмне забезпечення, спрямоване на компрометацію даних користувачів Linux

Intezer Labs виявила рідкісне шпигунське ПЗ, спрямоване на компрометацію даних користувачів Linux

Експерти з кібербезпеки виявили рідкісне шпигунське ПО, спрямоване на компрометацію даних користувачів Linux. На липень 2019 року шкідливість не вдається виявити за допомогою основних антивірусних програм. За словами дослідників з Intezer Labs, шпигунське ПЗ, що отримало назву EvilGnome, включає рідкісні для Linux-шкідників функціональні можливості.

Як повідомлялося, порівняно з кількістю націлених на Windows шкодоносів Linux не може похвалитися такою "популярністю". Існує дуже мало шкідливих програм для Linux, більшість з яких навіть не мають широкого спектру функціональних можливостей. Націлені на екосистему Linux шкідливі речовини найчастіше сфокусовані на криптомайнінгу і створенні DDoS-ботнетів шляхом захоплення вразливих серверів.

Проте, дослідники з Intezer Labs нещодавно виявили вбудований бекдор для Linux, який, найімовірніше, на липень 2019 року знаходиться на стадії розробки та тестування, проте вже містить кілька шкідливих модулів для стеження за користувачами настільних комп'ютерів на базі Linux.

Шкідливість EvilGnome здатна робити скріншоти, викрадати файли, записувати звук з мікрофона, а також завантажувати та запускати додаткові шкідливі модулі.

Шкідливе ПО EvilGnome маскується під офіційне розширення GNOME, що дозволяє користувачам Linux розширювати функціональні можливості робочого столу. EvilGnome поширюється у вигляді заархівованого шелл-скрипта, що саморозпаковується, створеного за допомогою "makeself" - невеликого шелл-скрипта, що генерує стиснутий .tar-архів з папки, що саморозпаковується.

EvilGnome містить п'ять шкідливих модулів під назвою Shooters. Зокрема, модуль ShooterSound використовує PulseAudio для запису звуку мікрофона. Модуль ShooterImage використовує бібліотеку Cairo з відкритим вихідним кодом для створення скріншотів. Модуль ShooterFile використовує список фільтрів для сканування файлової системи на предмет новостворених файлів. Модуль ShooterPing отримує команди з C&C-сервера зловмисника, такі як завантаження та виконання файлів, встановлення фільтрів тощо. Модуль ShooterKey може використовуватися для кейлоггінгу, але поки що він не задіяний. Найімовірніше модуль знаходиться на стадії розробки.

Оскільки антивірусні програми та системи безпеки на липень 2019 року не можуть виявити шкідливе ПО EvilGnome, дослідники рекомендують користувачам настільних комп'ютерів на базі Linux заблокувати IP-адреси керуючих серверів, перелічені в розділі IOC у блозі Intezer Labs.

Інші новини

Найкраща ціна