EvilGnome, el spyware de Linux que graba audio y roba tus archivos

Investigadores de seguridad han descubierto una pieza extraña de spyware de Linux, la cual actualmente no ha sido detectada en los principales productos de software de seguridad antivirus, e incluye funcionalidades que rara vez se ven con respecto a la mayoría de los programas maliciosos de Linux, según nos hemos dado cuenta.

Es un hecho conocido que existen muy pocas cepas de malware de Linux en la naturaleza, en comparación con los virus de Windows, esto debido a su arquitectura y también a su baja participación en el mercado, y de hecho, muchos de estos ni siquiera tienen una amplia gama de funcionalidades.

En los últimos años, incluso después de la revelación de graves vulnerabilidades críticas en varios tipos de sistemas operativos y software Linux, los ciberdelincuentes no lograron aprovechar la mayoría de ellos en sus ataques.

En cambio, una gran cantidad de malware que se enfoca en el ecosistema de Linux se centra principalmente en los ataques de minería de datos de criptomonedas, esto para obtener ganancias financieras y para crear redes de DDoS, mediante el secuestro de servidores vulnerables.

Sin embargo, Los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente una nueva puerta trasera de Linux que parece estar en fase de desarrollo y prueba, pero ya incluye varios módulos maliciosos para espiar a los usuarios de Linux.

EvilGnome: Nuevo Spyware para Linux

Llamado EvilGnome , el malware ha sido diseñado para tomar capturas de pantalla del escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos de segunda etapa.

De acuerdo con un nuevo informe que Intezer Labs compartió,  antes de su lanzamiento, la muestra de EvilGnome que se descubrió en VirusTotal también contiene una funcionalidad de keylogger aún no finalizada, lo que indica que su desarrollador lo cargó en línea por error.

El malware EvilGnome se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus escritorios.

Según los investigadores, el implante se entrega en forma de un script de shell de archivo autoextraíble creado con ‘makeelf’, un script de shell pequeño que genera un archivo de tar comprimido auto extraíble de un directorio.

El spyware para Linux también gana persistencia en un sistema específico utilizando crontab, similar al programador de tareas de Windows, y envía datos de usuario robados a un servidor remoto controlado por un atacante.

“La persistencia se logra registrando gnome-shell-ext.sh para ejecutar cada minuto en crontab. Finalmente, el script ejecuta gnome-shell-ext.sh, que a su vez lanza el principal ejecutable gnome-shell-ext”, dijeron los investigadores.

Módulos de spyware de EvilGnome

El agente espía de EvilGnome contiene cinco módulos maliciosos llamados “shooters”, como se explica a continuación:

• ShooterSound: este módulo utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de comando y control del operador.
• ShooterImage: este módulo utiliza la biblioteca de código abierto de Cairo para obtener capturas de pantalla y cargarlas en el servidor de C&C. Lo hace abriendo una conexión con el servidor de visualización XOrg, que es el backend del escritorio de Gnome.
• ShooterFile: este módulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos recién creados y los carga en el servidor de C&C.
• ShooterPing: el módulo recibe nuevos comandos del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuración de tiempo de ejecución, exfiltrar la salida almacenada al servidor de C&C y detener la ejecución de cualquier módulo de disparo.
• ShooterKey: este módulo no está implementado ni se usa, lo que probablemente es un módulo de registro de teclas sin terminar.

En particular, todos los módulos anteriores cifran sus datos de salida y descifran los comandos recibidos del servidor C&C con la clave RC5 “sdg62_AS.sa$die3,” utilizando una versión modificada de una biblioteca de código abierto rusa.

Posible conexión entre EvilGnome y el grupo de hacking Gamaredon

Además, los investigadores también encontraron conexiones entre EvilGnome y Gamaredon Group, un presunto grupo de amenazas ruso que ha estado activo desde al menos 2013 y se ha dirigido a personas que trabajan con el gobierno ucraniano.

A continuación, se describen algunas de las similitudes entre EvilGnome y el grupo Gamaredon :

• EvilGnome utiliza un proveedor de hosting que ha sido utilizado por el Grupo Gamaredon durante años y continúa siendo utilizado por este.
• Se descubrió que EvilGnome también estaba operando en una dirección IP controlada por el grupo Gamaredon hace dos meses.
• Los atacantes de EvilGnome también están usando el TLD ‘.space’ para sus dominios, al igual que el Grupo Gamaredon.
• EvilGnome emplea técnicas y módulos, como el uso de SFX, la persistencia con el programador de tareas y la implementación de herramientas de robo de información, que recuerdan las herramientas de Windows del Grupo Gamaredon.

¿Cómo detectar el Malware EvilGnome?

Para verificar si tu sistema Linux está infectado con el spyware EvilGnome, puedes buscar el ejecutable “gnome-shell-ext” en el directorio “~/.cache/gnome-software /gnome-shell-extensions“.

 

“Creemos que esta es una versión de prueba prematura. Anticipamos que se descubrirán y revisaran versiones más nuevas en el futuro, lo que potencialmente podría arrojar más luz sobre las operaciones del grupo”, concluyeron los investigadores.

Dado que los productos de seguridad y antivirus actualmente no detectan el malware EvilGnome, los investigadores recomiendan a los administradores de Linux preocupados que bloqueen las direcciones IP del servidor de Comando y Control enumeradas en la sección IOC de la publicación del blog de Intezer.