Новый вредонос EvilGnome шпионит за пользователями Linux

2

Антивирусные программы пока не детектируют EvilGnome.

Эксперты по кибербезопасности обнаружили редкое шпионское ПО, направленное на компрометацию данных пользователей Linux. В настоящее время вредонос не удается обнаружить с помощью основных антивирусных программ. По словам исследователей из Intezer Labs, получившее название EvilGnome шпионское ПО включает в себя редкие для Linux-вредоносов функциональные возможности.

По сравнению с количеством нацеленных на Windows вредоносов Linux не может похвастаться такой “популярностью”. Существует очень мало вредоносных программ для Linux, большинство из которых даже не имеют широкого спектра функциональных возможностей. Нацеленные на экосистему Linux вредоносы чаще всего сфокусированы на криптомайнинге и создании DDoS-ботнетов путем захвата уязвимых серверов.

Тем не менее, исследователи из Intezer Labs недавно обнаружили новый встраиваемый бэкдор для Linux, который, вероятнее всего, в настоящее время находится на стадии разработки и тестирования, однако уже содержит несколько вредоносных модулей для слежки за пользователями настольных компьютеров на базе Linux.

Вредонос EvilGnome способен делать скниншоты, похищать файлы, записывать звук с микрофона, а также загружать и запускать дополнительные вредоносные модули.

Вредоносное ПО EvilGnome маскируется под официальное расширение GNOME, позволяющее пользователям Linux расширять функциональные возможности рабочего стола. EvilGnome распространяется в виде самораспаковывающегося заархивированного шелл-скрипта, созданного с помощью “makeself” – небольшого шелл-скрипта, генерирующего самораспаковывающийся сжатый .tar-архив из папки.

EvilGnome содержит пять вредоносных модулей под общим названием Shooters. В частности модуль ShooterSound использует PulseAudio для записи звука микрофона. Модуль ShooterImage использует библиотеку Cairo с открытым исходным кодом для создания скриншотов. Модуль ShooterFile использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов. Модуль ShooterPing получает новые команды с C&C-сервера злоумышленника, такие как загрузка и выполнение новых файлов, установка новых фильтров и пр. Модуль ShooterKey может использоваться для кейлоггинга, но пока он не задействован. Вероятнее всего, модуль находится на стадии разработки.

Исследователи также обнаружили связь между EvilGnome и хакерской группировкой Gamaredon Group, предположительно связанной с РФ. Группа активна с 2013 года и известна атаками на связанных с правительством Украины лиц.

Поскольку антивирусные программы и системы безопасности пока не могут обнаружить вредоносное ПО EvilGnome, исследователи рекомендуют пользователям настояльных компьютеров на базе Linux заблокировать IP-адреса управляющих серверов, перечисленные в разделе IOC в блоге Intezer Labs.