• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / EvilGnome: un nuevo backdoor para usuarios de escritorio Linux

EvilGnome: un nuevo backdoor para usuarios de escritorio Linux

16 julio, 2019 Por Daniel Púa 3 comentarios

Es un hecho conocido que existen muy pocas cepas de malware de Linux en la naturaleza en comparación con los virus de Windows debido a su arquitectura central y también a su baja participación en el mercado, y muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.

En los últimos años, incluso después de la revelación de graves vulnerabilidades críticas en varios tipos de sistemas operativos y software Linux, los ciberdelincuentes no lograron aprovechar la mayoría de ellos en sus ataques. Sin embargo, los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente un nuevo implante de backdoor de Linux que parece estar en fase de desarrollo, pero ya incluye varios módulos maliciosos para espiar a los usuarios de este escritorio.

Funcionamiento de EvilGnome:

El malware en cuestión ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos.

Segun informan los propios investigadores de Intezer Labs, la muestra de EvilGnome que se descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargó en línea por error.

El malware se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus escritorios.

El implante de Linux también gana persistencia en un sistema específico utilizando crontab, similar al programador de tareas de Windows, y envía datos de usuario robados a un servidor remoto controlado por un atacante.

Módulos utilizados:

  • ShooterSound : este módulo utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de C&C del operador.
  • ShooterImage : este módulo utiliza la biblioteca de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C&C. Lo hace abriendo una conexión con el servidor de visualización XOrg, que es el backend del escritorio de Gnome.
  • ShooterFile : este módulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos recién creados y los carga en el servidor de C&C.
  • ShooterPing : el módulo recibe nuevos comandos del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuración de tiempo de ejecución, exfiltrar la salida almacenada al servidor de C&C y detener la ejecución de cualquier módulo de disparo.
  • ShooterKey : este módulo no está implementado ni se usa, lo que probablemente es un módulo de registro de teclas sin terminar.

En particular, todos los módulos anteriores cifran sus datos de salida y descifran los comandos recibidos del servidor C&C con la clave RC5 «sdg62_AS.sa $ die3», utilizando una versión modificada de una biblioteca de código abierto rusa.

¿Cómo detectar si estás infectado por EvilGnome?

Para verificar si su sistema Linux está infectado con el software espía EvilGnome, puede buscar el ejecutable «gnome-shell-ext» en el directorio «~/.cache/gnome-software/gnome-shell-extensions«.

Dado que los productos de seguridad y antivirus actualmente no detectan el malware EvilGnome, los investigadores recomiendan a los administradores de Linux preocupados que bloqueen las direcciones IP de Comando y Control enumeradas en la sección IOC de la publicación del blog de Intezer.

Más información:

EvilGnome: Rare Malware Spying on Linux Desktop Users
https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

Muestra EvilGnome en VirusTotal
https://www.virustotal.com/gui/file/7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869/detection

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Machine Learning aplicado a Ciberseguridad

Hacking de dispositivos iOS

Las tiras de Cálico

Publicado en: Malware Etiquetado como: evilgnome, intezer labs, linux, malware

Interacciones con los lectores

Comentarios

  1. David dice

    18 julio, 2019 a las 9:02 am

    Gracias por la info. Sólo un apunte/pregunta, ¿la ruta ~/.cache/gnome-software/gnome-shell-extensions es correcta? En mi equipo no existe, pero sí existe ~/.cache/gnome-software/shell-extensions.

    Responder
  2. newbie dice

    18 julio, 2019 a las 8:59 pm

    Hola
    En teoría solo debería afectar a los que usuarios del escritorio GNOME, no al resto de escritorios de GNU/Linux como KDE, ¿o estoy equivocado?

    Responder
  3. newbie dice

    19 julio, 2019 a las 3:03 pm

    Al ser para GNOME, eso reduce las posibles víctimas a los usuarios de ese escritorio

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Ataque a la plataforma cripto deBridge Finance
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Telegram como medio para robar tarjetas de crédito

Entradas recientes

  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...