EvilGnome: nuevo backdoor para espiar a usuarios de Linux

Se ha descubierto un nuevo spyware indetectable (de momento) para la mayoría de compañías antivirus, que incluye funcionalidades poco habituales con respecto a otros malware de Linux.

Es un hecho conocido que en Linux existe menos malware que en Windows. Una de las razones de esto, son las diferencias en la arquitectura de ambos sistemas operativos, otra razón puede ser el menor uso de Linux con respecto a Windows en lo que respecta a cuota de mercado. Por ello, el malware en Linux no está tan maduro como sí lo está en el sistema operativo de Redmond.

A pesar de haberse descubierto varias vulnerabilidades críticas en algunas distribuciones de Linux, los cibercriminales no están pudiendo perpetrar importantes ataques usando dichas vulnerabilidades.

La mayor parte del malware desarrollado para Linux centra su atención en el minado de criptomonedas y en la creación de botnets para servicios de DDoS. En su mayoría, las máquinas suelen ser servidores vulnerables.

Sin embargo, investigadores de seguridad de la empresa Intezer Labs han descubierto un nuevo troyano que tiene varios módulos maliciosos para espiar a usuarios de Linux.

EvilGnome se ha diseñado para robar ficheros, tomar capturas de pantalla, capturar sonido del micrófono y la descarga y ejecución de otros binarios.

Según Intezer Labs, la muestra fue descubierta en VirusTotal y tenía módulos aun sin terminar, lo que indica que estaba aun en fase de desarrollo.

EvilGnome se distribuye en forma de script en shell autoextraible, creado con la utilidad ‘makeself‘. Y se disfraza como una extensión de GNOME para pasar desapercibido, según los investigadores.

La persistencia se logra mediante la instalación de una tarea en el crontab del usuario, que se lanza cada minuto y toda la información robada se envía a un servidor remoto controlado por el atacante.

EvilGnome contiene al menos cinco módulos maliciosos:

  • ShooterSound — este módulo usa PulseAudio para capturar audio del micrófono del usuario y subirlo al servidor C2.
  • ShooterImage — este otro usa la librería Cairo para hacer capturas de pantalla y subirlas al servidor del atacante.
  • ShooterFile — este módulo busca en el disco duro de la víctima ficheros de reciente creación y los sube al servidor C2 si cumplen una regla.
  • ShooterPing — con este módulo se reciben órdenes del servidor C2
  • ShooterKey — es un keylogger incompleto, este módulo aun no tiene uso.

Todos ellos cifran la información antes de remitirla al servidor C2. Las órdenes del C&C están cifradas con la clave RC5 «sdg62_AS.sa$die3,».

Los investigadores de Intezer Labs afirman que existe relación entre EvilGnome y el grupo APT Gamaredon Group. Las evidencias que según ellos lo demuestran son:

  • El ISP usado por EvilGnome es el mismo que el usado por Gamaredon.
  • Las operaciones de EvilGnome se llevan a cabo en la misma dirección IP que el grupo Gamaredon usó dos meses atrás.
  • EvilGnome usa dominios de tipo ‘.space’, igual que Gamaredon.
  • EvilGnome usa técnicas y módulos que recuerdan a las herramientas ya existentes del grupo Gamaredon para Windows.

Más Información:

https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

https://thehackernews.com/2019/07/linux-gnome-spyware.html

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.