Si ви думали, що дистрибутиви Linux вийшли з лісу, тобто вірус в Linux - це міф, дозвольте сказати вам, що ви абсолютно помиляєтесь. Пуеs реальність така, що існує шкідливе програмне забезпечення, націлене на платформи Linux і насправді це незначно порівняно з великою кількістю вірусів, якими рясніє платформа Windows.
Цю різницю можна пояснити, зокрема, особливостями, властивими її архітектурі та відповідною популярністю. Крім того, велика кількість шкідливих програм, орієнтованих на екосистему Linux, в основному орієнтована на криптоджекінг та створення ботнетів для здійснення DDoS-атак.
EvilGnome шкідливе програмне забезпечення для Linux
Нещодавно дослідники безпеки виявили нове шпигунське програмне забезпечення орієнтування на Linux. Зловмисне програмне забезпечення все ще перебуває на стадії розробки та тестування, але він уже включав кілька шкідливих модулів для шпигунства за користувачами.
Дослідницька група компанії Intezer Labs, компанії з кібербезпеки, виявив вірус під назвою EvilGnome, який має незвичні характеристики в порівнянні з більшістю зловмисного програмного забезпечення Linux, яке було винайдено і досі не виявляється провідним антивірусом на ринку.
Ця нова шкідлива програма виявила "EvilGnome" Він був розроблений для створення знімків екрану робочого столу, викрадення файлів, захоплення аудіозаписів з мікрофона, а також завантажувати та запускати інші шкідливі модулі, все без відома користувача.
Версія EvilGnome, виявлена Intezer Labs на VirusTotal, також містила функціональність кейлоггера, вказуючи на те, що її розробник, ймовірно, помилково розмістив її в мережі.
За даними слідства, EvilGnome - справжнє шпигунське програмне забезпечення, яке видає себе ще одним розширенням, яке працює під управлінням Gnome.
Це шпигунське програмне забезпечення представляє собою саморозпаковується сценарій, створений за допомогою "makeself", невеликого сценарію оболонки, який генерує саморозпаковується стислий файл tar з каталогу.
Він зберігається в цільовій системі за допомогою crontab, інструменту, подібного до Планувальника завдань Windows, і надсилає викрадені дані користувача на віддалений сервер, керований зловмисником.
“Постійність досягається реєстрацією gnome-shell-ext.sh для запуску щохвилини в crontab. Нарешті, сценарій запускає gnome-shell-ext.sh, який, у свою чергу, запускає основний виконуваний файл gnome-shell-ext ", - зазначили дослідники.
Про склад EvilGnome
EvilGnome інтегрує п’ять шкідливих модулів, які називаються "Шутери":
- ШутерЗвук який використовує PulseAudio для захоплення звуку з мікрофона користувача та завантаження даних на сервер команд та управління оператора.
- Зображення стрілка який модуль використовує бібліотека з відкритим кодом у Каїрі, щоб робити знімки екрана та завантажувати їх на сервер C&C, відкриваючи з’єднання з сервером відображення XOrg.
- ШутерФайл, який використовує список фільтрів для сканування файлової системи на наявність нещодавно створених файлів та завантаження їх на сервер C&C.
- ShooterPing який отримує нові команди від сервера C&C, включаючи всі режими очікування стрільців.
- Ключ шутера який ще має бути впроваджений і використаний, можливо, незавершений модуль кейлоггера.
Ці різні модулі шифрують надіслані дані та дешифрують команди, отримані від сервера C&C, за допомогою ключа RC5 "sdg62_AS.sa $ die3", використовуючи модифіковану версію російської бібліотеки з відкритим кодом.
Дослідники також виявили зв'язок між EvilGnome і Gamaredon., нібито російська група загроз, яка діє щонайменше з 2013 року і націлена на людей, які співпрацюють з українським урядом.
Оператори EvilGnome використовує хостинг-провайдера, який роками використовується Gamaredon Group, а група продовжує його використовувати.
“Ми вважаємо, що це передчасна пробна версія. Ми очікуємо, що нові версії будуть виявлені та переглянуті в майбутньому, що може призвести до кращого розуміння діяльності групи », - підсумували дослідники.
Нарешті, користувачам Linux, які хочуть перевірити, чи не заражені вони, рекомендується перевірити каталог
~ / .cache / gnome-software / gnome-shell-extensions
Для виконуваного файлу "Gnome-shell-ext"
Фуенте: https://www.intezer.com/
І це досягається, розпакуйте tar, встановіть його та надайте йому root права.
Ми - те, що зазвичай робить будь-який поміркований користувач Linux, так?
Оскільки воно приховане як розширення для GNOME, навряд чи його зможуть завантажити користувачі інших робочих столів, таких як KDE