EvilGnome

Los investigadores de seguridad han descubierto una rara pieza de spyware de GNU/Linux que actualmente no es detectada en todos los principales productos de software de seguridad antivirus, e incluye funcionalidades poco vistas con respecto a la mayoría del malware para esta plataforma.

Es un hecho conocido que existen muy pocas cepas de malware para GNU/Linux en la naturaleza en comparación con los virus de Windows debido a su arquitectura central y también debido a su baja cuota de mercado, y también muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.

En los últimos años, incluso después de la revelación de vulnerabilidades críticas graves en varios tipos de sistemas operativos y software de GNU/Linux, los ciberdelincuentes no lograron aprovechar la mayoría de ellos en sus ataques.

En cambio, un gran número de malware dirigido al ecosistema GNU/Linux se centra principalmente en ataques de minería de criptocurrencia para

Obtener beneficios económicos y en la creación de botnets DDoS mediante el secuestro de servidores vulnerables.
Sin embargo, los investigadores de la empresa de seguridad Intezer Labs descubrieron recientemente una nueva puerta trasera para GNU/Linux que parece estar en fase de desarrollo y pruebas, pero que ya incluye varios módulos maliciosos para espiar a los usuarios de escritorios GNU/Linux.

Apodado EvilGnome, el malware ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar otros módulos maliciosos de segunda etapa.

Según un nuevo informe que Intezer Labs muestra de EvilGnome que descubrió en VirusTotal, también contiene una funcionalidad de keylogger inacabada, lo que indica que fue cargada en línea por error por su desarrollador.

El malware EvilGnome se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de este entorno en GNU/Linux ampliar la funcionalidad de sus escritorios.

Según los investigadores, el malware se entrega en forma de un script shell de archivo autoextraíble creado con ‘makeelf’, un pequeño script shell que genera un archivo tar comprimido autoextraíble a partir de un directorio.

El malware también gana persistencia en un sistema objetivo usando crontab, similar al programador de tareas de Windows, y envía datos de usuarios robados a un servidor remoto controlado por un atacante.

“La persistencia se logra registrando gnome-shell-ext.sh para que se ejecute cada minuto en crontab. Finalmente, el script ejecuta gnome-shell-ext.sh, que a su vez lanza el principal gnome-shell-ext ejecutable”, dijeron los investigadores.

Para comprobar si tu sistema con GNOME está infectado con el spyware EvilGnome, puedes buscar el ejecutable “gnome-shell-ext” en el directorio “~/.cache/gnome-software/gnome-shell-extensions”.

 

Fuente: Original | maslinux

¿Quién está en línea?

Hay 9978 invitados y ningún miembro en línea