Una reciente investigación descubrió un spyware indetectable por muchas soluciones de seguridad, y que además incluye funcionalidades que comúnmente no se ven en este tipo de amenazas.
Se da por hecho que las muestras de malware para el sistema operativo Linux son bastante menores en comparación a las de Windows, de Microsoft; debido a la arquitectura, la popularidad y participación en el mercado, a pesar de que se han descubierto grandes vulnerabilidades de estos sistemas como también en software del mismo, los ciberdelincuentes no aprovechan en su totalidad de estas por los argumentos mencionados anteriormente.
Apodado como EvilGnome, el malware ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, que además permite la descarga y ejecución de más módulos maliciosos. Según una muestra del análisis, el conocido motor de VirusTotal detectó que esta contiene también, una funcionalidad de Keylogger inacabada.
La nueva variante se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus máquinas. Según los investigadores, el implante se entrega en forma de un shell script de archivo autoextraíble creado con “makeself”, un shell script pequeño que genera un archivo .tar comprimido autoextraíble desde un directorio. Continuando el flujo, la amenaza también posee persistencia ya que hace uso crontab (similar al programador de tareas de Windows pero para Linux), y sumado a ello, envía datos de usuario robados a un servidor remoto controlado por un atacante. El Spyware contiene cinco módulos maliciosos llamados "Shooters", a continuación una pequeña descripción de cada uno:
ShooterSound: Módulo que utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de comando y control (C2) del operador.
ShooterImage: Módulo que utiliza la biblioteca de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C2, mediante una conexión con el servidor de visualización XOrg (backend de Gnome).
ShooterFile: Módulo que utiliza una lista de filtros para escanear el sistema en busca de archivos recién creados y posteriormente, realiza la carga en el servidor de C2.
ShooterPing: Módulo que recibe nuevos comandos del servidor de C2, como descargar y ejecutar archivos, establecer filtros para el escaneo, descargar y establecer configuraciones de tiempos de ejecución, exfiltrar la salida almacenada al servidor de C2 y detener la ejecución de cualquier módulo.
ShooterKey: Módulo no implementado, como se mencionaba al inicio, consiste prácticamente en un Keylogger sin terminar.
Además, para complementar la investigación, los expertos encontraron conexiones entre EvilGnome y Gamaredon Group, un presunto grupo de amenazas ruso activo por lo menos desde 2013, que tiene por objetivo a entidades del gobierno ucraniano.
Dado que las soluciones de seguridad y antivirus actualmente no detectan este nuevo malware, los investigadores recomiendan a los administradores de Linux que bloqueen las direcciones IP de Comando y Control respectivas con el fin de prevenir algún potencial ataque.
REFERENCIA
COMENTARIOS