Intezer Labs обнаружила редкое шпионское ПО, направленное на компрометацию данных пользователей Linux
Intezer Labs обнаружила редкое шпионское ПО, направленное на компрометацию данных пользователей Linux
Эксперты по кибербезопасности обнаружили редкое шпионское ПО, направленное на компрометацию данных пользователей Linux. На июль 2019 года вредонос не удается обнаружить с помощью основных антивирусных программ. По словам исследователей из Intezer Labs, получившее название EvilGnome шпионское ПО включает в себя редкие для Linux-вредоносов функциональные возможности.
Как сообщалось, по сравнению с количеством нацеленных на Windows вредоносов Linux не может похвастаться такой "популярностью". Существует очень мало вредоносных программ для Linux, большинство из которых даже не имеют широкого спектра функциональных возможностей. Нацеленные на экосистему Linux вредоносы чаще всего сфокусированы на криптомайнинге и создании DDoS-ботнетов путем захвата уязвимых серверов.
Тем не менее, исследователи из Intezer Labs недавно обнаружили встраиваемый бэкдор для Linux, который, вероятнее всего, на июль 2019 года находится на стадии разработки и тестирования, однако уже содержит несколько вредоносных модулей для слежки за пользователями настольных компьютеров на базе Linux.
Вредонос EvilGnome способен делать скриншоты, похищать файлы, записывать звук с микрофона, а также загружать и запускать дополнительные вредоносные модули.
Вредоносное ПО EvilGnome маскируется под официальное расширение GNOME, позволяющее пользователям Linux расширять функциональные возможности рабочего стола. EvilGnome распространяется в виде самораспаковывающегося заархивированного шелл-скрипта, созданного с помощью "makeself" - небольшого шелл-скрипта, генерирующего самораспаковывающийся сжатый .tar-архив из папки.
EvilGnome содержит пять вредоносных модулей под общим названием Shooters. В частности модуль ShooterSound использует PulseAudio для записи звука микрофона. Модуль ShooterImage использует библиотеку Cairo с открытым исходным кодом для создания скриншотов. Модуль ShooterFile использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов. Модуль ShooterPing получает команды с C&C-сервера злоумышленника, такие как загрузка и выполнение файлов, установка фильтров и пр. Модуль ShooterKey может использоваться для кейлоггинга, но пока он не задействован. Вероятнее всего, модуль находится на стадии разработки.
Поскольку антивирусные программы и системы безопасности на июль 2019 года не могут обнаружить вредоносное ПО EvilGnome, исследователи рекомендуют пользователям настольных компьютеров на базе Linux заблокировать IP-адреса управляющих серверов, перечисленные в разделе IOC в блоге Intezer Labs.