EvilGnome, un nuevo Backdoor que afecta a usuarios de Linux


Una reciente investigación descubrió un spyware indetectable por muchas soluciones de seguridad, y que además incluye funcionalidades que comúnmente no se ven en este tipo de amenazas.

Se da por hecho que las muestras de malware para el sistema operativo Linux son bastante menores en comparación a las de Windows, de Microsoft; debido a la arquitectura, la popularidad y participación en el mercado, a pesar de que se han descubierto grandes vulnerabilidades de estos sistemas como también en software del mismo, los ciberdelincuentes no aprovechan en su totalidad de estas por los argumentos mencionados anteriormente.

Apodado como EvilGnome, el malware ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, que además permite la descarga y ejecución de más módulos maliciosos. Según una muestra del análisis, el conocido motor de VirusTotal detectó que esta contiene también, una funcionalidad de Keylogger inacabada.

La nueva variante se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus máquinas. Según los investigadores, el implante se entrega en forma de un shell script de archivo autoextraíble creado con “makeself”, un shell script pequeño que genera un archivo .tar comprimido autoextraíble desde un directorio. Continuando el flujo, la amenaza también posee persistencia ya que hace uso crontab (similar al programador de tareas de Windows pero para Linux), y sumado a ello, envía datos de usuario robados a un servidor remoto controlado por un atacante. El Spyware contiene cinco módulos maliciosos llamados "Shooters", a continuación una pequeña descripción de cada uno:

ShooterSound: Módulo que utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de comando y control (C2) del operador.

ShooterImage: Módulo que utiliza la biblioteca de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C2, mediante una conexión con el servidor de visualización XOrg (backend de Gnome).

ShooterFile: Módulo que utiliza una lista de filtros para escanear el sistema en busca de archivos recién creados y posteriormente, realiza la carga en el servidor de C2.

ShooterPing: Módulo que recibe nuevos comandos del servidor de C2, como descargar y ejecutar archivos, establecer filtros para el escaneo, descargar y establecer configuraciones de tiempos de ejecución, exfiltrar la salida almacenada al servidor de C2 y detener la ejecución de cualquier módulo.

ShooterKey: Módulo no implementado, como se mencionaba al inicio, consiste prácticamente en un Keylogger sin terminar.

Además, para complementar la investigación, los expertos encontraron conexiones entre EvilGnome y Gamaredon Group, un presunto grupo de amenazas ruso activo por lo menos desde 2013, que tiene por objetivo a entidades del gobierno ucraniano.

Dado que las soluciones de seguridad y antivirus actualmente no detectan este nuevo malware, los investigadores recomiendan a los administradores de Linux que bloqueen las direcciones IP de Comando y Control respectivas con el fin de prevenir algún potencial ataque.


REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,24,Antivirus,3,Apple,13,Apps,10,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,104,ciberseguridad,69,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,1,Empresas,108,Eventos,4,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,24,Hacking,78,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,32,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,20,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,11,Ransomware,7,Recomendaciones,14,Redes,27,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,27,Software,23,Spyware,10,updates,21,Vulnerabilidades,59,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: EvilGnome, un nuevo Backdoor que afecta a usuarios de Linux
EvilGnome, un nuevo Backdoor que afecta a usuarios de Linux
https://1.bp.blogspot.com/-2zreP4cV0Yo/XTHoi8N-6EI/AAAAAAAABkA/Ig6NOt6eL3oeIEPKdCyUUZCF1DuL-QBaACLcBGAs/s640/EvilGnome.jpg
https://1.bp.blogspot.com/-2zreP4cV0Yo/XTHoi8N-6EI/AAAAAAAABkA/Ig6NOt6eL3oeIEPKdCyUUZCF1DuL-QBaACLcBGAs/s72-c/EvilGnome.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/07/evilgnome-un-nuevo-backdoor-que-afecta.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/07/evilgnome-un-nuevo-backdoor-que-afecta.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy