Peneliti keamanan telah menemukan sepotong spyware Linux yang langka yang saat ini sepenuhnya tidak terdeteksi di semua produk perangkat lunak keamanan antivirus utama, dan mencakup fungsi yang jarang terlihat sehubungan dengan sebagian besar malware Linux, The Hacker News belajar.
Ini adalah fakta yang diketahui bahwa ada beberapa jenis malware Linux yang ada di alam dibandingkan dengan virus Windows karena arsitektur intinya dan juga karena pangsa pasar yang rendah, dan juga banyak dari mereka bahkan tidak memiliki jangkauan yang luas. fungsionalitas.
Dalam beberapa tahun terakhir, bahkan setelah pengungkapan kerentanan kritis yang parah dalam berbagai rasa sistem operasi dan perangkat lunak Linux, penjahat cyber gagal memanfaatkan sebagian besar dari mereka dalam serangan mereka.
Sebaliknya, sejumlah besar malware yang menargetkan ekosistem Linux terutama difokuskan pada serangan penambangan cryptocurrency untuk keuntungan finansial dan menciptakan botnet DDoS dengan membajak server yang rentan.
Namun, para peneliti di perusahaan keamanan Intezer Labs baru-baru ini menemukan implan pintu belakang Linux baru yang tampaknya sedang dalam tahap pengembangan dan pengujian tetapi sudah mencakup beberapa modul berbahaya untuk memata-matai pengguna desktop Linux.
EvilGnome: Spyware Linux Baru
Dijuluki EvilGnome , malware telah dirancang untuk mengambil tangkapan layar desktop, mencuri file, menangkap rekaman audio dari mikrofon pengguna serta mengunduh dan menjalankan modul berbahaya tahap kedua lebih lanjut.
Menurut laporan baru Intezer Labs yang dibagikan dengan The Hacker News sebelum rilis, sampel EvilGnome yang ditemukannya di VirusTotal juga berisi fungsionalitas keylogger yang belum selesai, yang menunjukkan bahwa ia diunggah secara online secara keliru oleh pengembangnya.
Malware EvilGnome menyamar sebagai ekstensi GNOME yang sah, sebuah program yang memungkinkan pengguna Linux memperluas fungsionalitas desktop mereka.
Menurut para peneliti, implan dikirim dalam bentuk skrip shell arsip pengekstraksi sendiri yang dibuat dengan 'makeself,' skrip shell kecil yang menghasilkan arsip tar terkompresi yang dapat diekstraksi sendiri dari direktori.
Implan Linux juga mendapatkan ketekunan pada sistem yang ditargetkan menggunakan crontab, mirip dengan penjadwal tugas windows, dan mengirimkan data pengguna curian ke server yang dikendalikan penyerang jarak jauh.
"Kegigihan dicapai dengan mendaftarkan gnome-shell-ext.sh untuk menjalankan setiap menit di crontab. Akhirnya, skrip mengeksekusi gnome-shell-ext.sh, yang pada gilirannya meluncurkan gnome-shell-ext yang dapat dieksekusi," kata para peneliti .
Modul Spyware EvilGnome
Agen Mata-Mata EvilGnome berisi lima modul jahat yang disebut "Shooters," seperti yang dijelaskan di bawah ini:
- ShooterSound - modul ini menggunakan PulseAudio untuk menangkap audio dari mikrofon pengguna dan mengunggah data ke server perintah-dan-kontrol operator.
- ShooterImage - modul ini menggunakan pustaka sumber terbuka Kairo untuk menangkap tangkapan layar dan mengunggahnya ke server C&C. Ia melakukannya dengan membuka koneksi ke XOrg Display Server, yang merupakan backend ke desktop Gnome.
- ShooterFile - modul ini menggunakan daftar filter untuk memindai sistem file untuk file yang baru dibuat dan mengunggahnya ke server C&C.
- ShooterPing - modul menerima perintah baru dari server C&C, seperti mengunduh dan mengeksekusi file baru, mengatur filter baru untuk pemindaian file, mengunduh dan mengatur konfigurasi runtime baru, mengekstrak output tersimpan ke server C&C, dan menghentikan modul penembak agar tidak berjalan.
- ShooterKey - modul ini tidak diimplementasikan dan tidak digunakan, yang kemungkinan besar adalah modul keylogging yang belum selesai.
Khususnya, semua modul di atas mengenkripsi data output dan mendekripsi perintah yang diterima dari server C&C dengan kunci RC5 "sdg62_AS.sa $ die3," menggunakan versi modifikasi dari perpustakaan open source Rusia.
Kemungkinan Koneksi dengan EvilGnome dan Gamaredon Hacking Group
Selain itu, para peneliti juga menemukan hubungan antara EvilGnome dan Gamaredon Group, yang diduga kelompok ancaman Rusia yang telah aktif sejak setidaknya 2013 dan telah menargetkan individu yang bekerja dengan pemerintah Ukraina.
Di sini di bawah ini, saya telah menjelaskan beberapa kesamaan antara EvilGnome dan Gamaredon Group:
- EvilGnome menggunakan penyedia hosting yang telah digunakan oleh Gamaredon Group selama bertahun-tahun dan terus digunakan olehnya.
- EvilGnome juga ditemukan beroperasi pada alamat IP yang dikendalikan oleh kelompok Gamaredon dua bulan lalu.
- Penyerang EvilGnome juga menggunakan TTLD '.spasi' untuk domain mereka, seperti halnya Grup Gamaredon.
- EvilGnome menggunakan teknik dan modul — seperti penggunaan SFX, kegigihan dengan penjadwal tugas, dan penyebaran alat pencuri informasi — yang mengingatkan pada alat Windows Gamaredon Group.
Bagaimana cara mendeteksi Malware EvilGnome?
Untuk memeriksa apakah sistem Linux Anda terinfeksi dengan EvilGnome spyware, Anda dapat mencari "gnome-shell-ext" yang dapat dieksekusi di direktori "~ / .cache / gnome-software / gnome-shell-extensions".
"Kami percaya ini adalah versi uji prematur. Kami mengantisipasi versi yang lebih baru untuk ditemukan dan ditinjau di masa depan, yang berpotensi memberikan lebih banyak cahaya ke dalam operasi kelompok," para peneliti menyimpulkan.
Karena produk keamanan dan antivirus saat ini gagal mendeteksi malware EvilGnome, peneliti merekomendasikan administrator Linux yang bersangkutan untuk memblokir alamat IP Command & Control yang tercantum di bagian IOC dari posting blog Intezer.
Sumber Artikel TheHackerNews
