EvilGnome: um novo e potente vírus para usuários Linux

EvilGnome: um novo e potente vírus para usuários Linux

Existe um grande mito que sempre rodou pelo mundo Linux, sobretudo com os usuários mais leigos, de que é um ambiente totalmente à prova de vírus, o que nunca foi verdade. Claro que, apesar deste fato, a plataforma Linux é a melhor em termos de segurança, estabilidade e personalização atualmente. Então, conheça o EvilGnome: um novo e potente vírus para usuários Linux

Cuidado com o gnomo.

A descoberta do vírus

Recentemente pesquisadores de segurança da Iintezer descobriram um poderoso vírus que consegue passar despercebido pelas principais soluções de segurança. Foi apelidado de Evilgnome e ainda se encontra em desenvolvimento.

O nome é devido ao modo de operação do vírus que se disfarça de uma extensão legítima do ambiente Gnome para infectar o alvo. Ele tem a capacidade de capturar fotos da tela do computador, captura e gravação de áudio além de conseguir fazer download e upload de qualquer coisa que o atacante tiver interesse.

Mesmo em desenvolvimento, o vírus chamou a atenção dos pesquisadores por suas habilidades. O ambiente Linux devido a suas características de estabilidade, segurança e alta personalização é um ambiente que possui grande adesão em servidores e usuários experientes. Sendo assim, a grande maioria dos vírus são orientados a ataques de mineração de criptomoedas e criação de botnets. Este vírus chamou atenção sobretudo por ter um foco diferente e bem pouco usual no universo Linux que é o usuário final.

Graças a um descuido, os pesquisadores encontraram o virus

Foi por causa de um aparente descuido que foi possível aos pesquisadores descobrirem e rastrear os dados desta nova ameaça. Uma amostra do Evilgnome foi encontrada no site VirusTotal, um site de escaneamento de vírus com várias engines de antivirus, o que indica que ocorreu um envio por engano. A amostra continha metadados de compilação, bem como nome de símbolos, comentários, além de um modulo inacabado.  Ele funciona através de um script shell auto-extraível e ganha persistência usando o crontab para fazer com que o programa rode a cada minuto.

Sementinha do mal.

Origens e funcionalidades

O Gamaredon Group é supostamente o responsável pelo controle e desenvolvimento deste novo virus. Este grupo é de origem russa e segundo a Unidade 42 está ativo desde meados de 2013. Ano passado pesquisadores da LookingGlass compartilharam os detalhes de uma campanha de espionagem denominada “Operação Armageddon” tendo seu foco de ataque para o governo ucraniano. O Gamaredon Group infecta seus alvos através de técnicas de engenharia social, mais especificamente spear-phising.

Contem 5 módulos chamados “Shooters”, sendo eles;

  • ShooterSound – Através do PulseAudio, este módulo captura e envia áudio do microfone do usuário.
  • ShooterImage – Usando a biblioteca de código aberto chamada Cairo ele captura as imagens na tela do computador do usuário. Faz uso também de uma conexão com o Xorg Display Server, que é o back-end do gnome.
  • ShooterFile – Utiliza-se de uma lista de filtros para verificar o sistema de arquivos a procura de arquivos para carrega-los e subir para o servidor.
  • ShooterPing – Este é o modulo responsável por receber novos comandos do servidor remoto, baixar e implementar novas configurações em tempo de execução bem como impedir que qualquer modulo de disparo seja ativado.
  • ShooterKey – Único modulo que ainda não está em funcionamento, aparentemente se trata de um modulo keylogger.

O Spy Agent foi construído em C ++, usando classes com uma estrutura orientada a objetos. O binário não foi retirado, o que nos permitiu ler símbolos e entender as intenções do desenvolvedor. Na inicialização, o agente se prepara para executar em um novo processo. O agente lê o arquivo de configuração rtp.dat e o carrega diretamente na memória, disseram os pesquisadores.

EvilGnome: um novo e potente vírus para usuários Linux

Todos os módulos que estão em operação criptografam os dados de saída. Além disso, decreptam os comandos vindos do servidor através de uma chave RC5 “sdg62_AS.sa $ die3“. São executados cada um com seu próprio encadeamento. Já o acesso a recursos compartilhado é protegido por meio de exclusões mútuas. Todo o programa até então foi construido C++.

Por enquanto o único método de proteção é realizar a checagem manual do executável “gnome-shell-ext” no diretório “~/.cache/gnome-software/gnome-shell-extentions”.

Para mais informações clique aqui.

Acesse a versão completa
Sair da versão mobile