Um novo backdoor atacando usuários Linux

Um novo backdoor atacando usuários Linux

Apelidado de EvilGnome , o malware foi projetado para capturar imagens da área de trabalho, roubar arquivos, capturar gravação de áudio do microfone do usuário, bem como baixar e executar outros módulos maliciosos de segundo estágio.

Pesquisadores de segurança descobriram uma rara parte do spyware do Linux que atualmente não é detectado em todos os principais produtos de software de segurança antivírus e inclui funcionalidades raramente vistas em relação à maioria dos malwares para Linux.


É um fato conhecido que existem poucos malwares para Linux, em comparação com os vírus do Windows por causa da sua baixa participação no mercado, e muitos deles nem sequer têm uma ampla gama de funcionalidades.


Nos últimos anos, mesmo após a divulgação de vulnerabilidades críticas severas em vários tipos de sistemas operacionais Linux, os cibercriminosos não conseguiram aproveitar a maioria deles em seus ataques.


Em vez disso, um grande número de malware direcionados ao ecossistema Linux concentra-se principalmente em ataques de mineração com criptomoedas para obter ganhos financeiros e criar botnets DDoS ao sequestrar servidores vulneráveis.


No entanto, pesquisadores da empresa de segurança Intezer Labs descobriram recentemente um novo implante backdoor do Linux que parece estar em fase de desenvolvimento e teste, mas já inclui vários módulos maliciosos para espionar usuários de desktop Linux.


EvilGnome: Novo Spyware para Linux


Apelidado de EvilGnome, o malware foi projetado para capturar imagens da área de trabalho, roubar arquivos, capturar gravação de áudio do microfone do usuário, bem como baixar e executar outros módulos maliciosos em um segundo estágio.


De acordo com um novo relatório do Intezer Labs, a amostra do EvilGnome descoberta no VirusTotal também contém uma funcionalidade de keylogger inacabada, o que indica que ele foi enviado por engano pelo desenvolvedor.



O malware EvilGnome se disfarça como uma legítima extensão do GNOME, um programa que permite aos usuários do Linux ampliar a funcionalidade de seus desktops.


De acordo com os pesquisadores, o implante é entregue na forma de um script de shell de arquivo auto-extraível criado com "makeself", um pequeno script shell que gera um arquivo tar compactado auto-extraível de um diretório.


O implante Linux também ganha persistência em um sistema alvo usando o crontab, similar ao agendador de tarefas do Windows, e envia dados de usuários roubados para um servidor controlado por um atacante remoto.


"A persistência é conseguida registrando gnome-shell-ext.sh para rodar a cada minuto no crontab. Finalmente, o script executa gnome-shell-ext.sh, que por sua vez inicia o executável principal gnome-shell-ext", disseram os pesquisadores. .


Módulos Spyware do EvilGnome


O Spy Agent do EvilGnome contém cinco módulos maliciosos chamados "Shooters", conforme explicado abaixo:


ShooterSound - este módulo usa o PulseAudio para capturar áudio do microfone do usuário e envia os dados para o servidor de comando e controle do operador.

ShooterImage - este módulo usa a biblioteca de código aberto Cairo para capturar capturas de tela e carregá-las para o servidor C&C. Ele faz isso abrindo uma conexão com o XOrg Display Server, que é o back-end para a área de trabalho do Gnome.

ShooterFile - este módulo usa uma lista de filtros para verificar o sistema de arquivos em busca de arquivos recém-criados e carrega-os no servidor C&C.

ShooterPing - o módulo recebe novos comandos do servidor C&C, como baixar e executar novos arquivos, definir novos filtros para verificação de arquivos, baixar e definir novas configurações de tempo de execução, exfiltrar saídas armazenadas para o servidor C&C e impedir que qualquer módulo de disparo seja executado.

ShooterKey - este módulo não é implementado nem usado, o que provavelmente é um módulo de keylogging inacabado.


Notavelmente, todos os módulos acima criptografam seus dados de saída e executam comandos recebidos do servidor C&C com a chave RC5 "sdg62_AS.sa $ die3", usando uma versão modificada de uma biblioteca de código aberto russa.


Possível ligacão entre o EvilGnome e o Gamaredon Hacking Group

Além disso, os pesquisadores também encontraram ligações entre o EvilGnome e o Gamaredon Group, um suposto grupo de ameaça russo que está ativo desde pelo menos 2013 e tem como alvo indivíduos que trabalham com o governo ucraniano.


Abaixo, algumas das semelhanças entre o EvilGnome e o Gamaredon Group:


- O EvilGnome usa um provedor de hospedagem que tem sido usado pelo Gamaredon Group há anos e continua a ser usado por ele.

- O EvilGnome também está operando em um endereço IP que foi controlado pelo grupo Gamaredon há dois meses.

- Invasores do EvilGnome também estão usando o TTLD .space para seus domínios, assim como o Grupo Gamaredon.

- O EvilGnome emprega técnicas e módulos - como o uso de SFX, ganha persistência com o agendador de tarefas e a implantação de ferramentas de roubo de informações - que lembram as ferramentas do Windows do Gamaredon Group.


Como detectar o Malware EvilGnome?

Para verificar se o seu sistema Linux está infectado com o spyware do EvilGnome, você pode procurar o executável "gnome-shell-ext" no diretório "~ / .cache / gnome-software / gnome-shell-extensions".


"Acreditamos que esta é uma versão de teste prematura. Antecipamos que novas versões sejam descobertas e analisadas no futuro, o que poderia lançar mais luz sobre as operações do grupo", concluem os pesquisadores.


Como os produtos antivírus e de segurança atualmente não conseguem detectar o malware EvilGnome, os pesquisadores recomendam aos administradores Linux interessados ??que bloqueiem os endereços IP de Comando e Controle listados abaixo:


EvilGnome:

a21acbe7ee77c721f1adc76e7a7799c936e74348d32b4c38f3bf6357ed7e8032

82b69954410c83315dfe769eed4b6cfc7d11f0f62e26ff546542e35dcd7106b7

7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869

195.62.52[.]101


Grupo Gamaredon:

185.158.115[.]44

185.158.115[.]154

clsass.ddns[.]net

kotl[.]space

O que fazemosServiços

3CX Phone System

3CX Phone SystemA melhor telefonia IP

Reduza o seu gasto com telefone em até 80%.
Colaboradores remotos ou funcionários em movimento podem ligar gratuitamente através do ramal móvel. Conecte escritórios remotos, melhore a comunicação e torne chamadas entre escritórios gratuitas.
Conheça todas as vantagens em ter o 3CX na sua empresa.

Saiba Mais

SG - Serviços Gerenciados

Serviços GerenciadosNos preocupamos por você!

Nosso objetivo é ajudá-lo à ser mais efieciente e ágil nas entregas das aplicações de negócios. Esse trabalho envolve controle de falhas, disponibilidade e desempenho dos sistemas.
Fazemos monitoramento do seu ambiente 24h por dia, 7 dias por semana, avaliando desempenho e disponibilidade de servidores, sistemas e ativos de rede.

Saiba Mais

Gestão Total com Neteye

Gestão TotalTenha domínio do seu negócio

Este é um produto muito interessante que oferecemos para a sua empresa. Tenha total controle de como seus recursos (hardware e software) estão sendo utilizados, quando suas licenças de software irão expirar, quando a garantia dos dispositivos irá terminar, tenha relatórios de produtividades de cada usuário da rede, acesse remotamente de forma transparente as estações de trabalho.

Saiba Mais

 

 

 

Inventário de Hardware e Software

InventárioHardware e Software

A Convectiva oferece o serviço de inventário de hardware e software para sua empresa. Com isso, o controle de seus equipamentos e softwares torna-se uma tarefa simples, garantindo o controle total das licenças de software para eventuais auditorias, controle de expiração de licenças e garantias para implementação de melhores práticas e informações para registros contábeis.

Saiba Mais

Wi-fi Corporativo

Wi-FiSeguro e com Qualidade

O Wi-fi Corporativo é reconhecido por apresentar recursos mais robustos do que os demais e possuir algumas características próprias, vantagens que normalmente ajudam na tomada de decisão quando uma empresa tem que optar por uma modalidade de rede sem fio mais eficiente.
Garantimos qualidade, cobertura, disponibilidade e segurança na sua rede Wi-Fi

Saiba Mais

Firewall

FirewallSeu ambinete Seguro

Através de modernos recursos de Firewall/UTM, incluindo Firewall, Proxy web, Prtal cativo, VPN etc, oferecemos visualização, em tempo real, de indicadores para gestão proativa da segurança digital corporativa, permitindo fazer priorização e balanceamento de links, monitoramento de consumo de banda, controle e restrição de acesso a conteúdos.

Saiba Mais

 

 

 

Backup

BackupProteção de dados

A Convectiva analisa o perfil dos seus clientes e elabora estratégias de proteção de dados que proporcionam eficiência, inteligência segurança e confiabilidade as operações de backup e recuperação, desenvolvendo desde sistemas simples de proteção local, até uma política corporativa com a implantação de plataformas de replicação entre sites.

Saiba Mais

Auditoria em Segurança da Informação

AuditoriaSegurança da Informação

Analisamos e implementamos ferramentas, processos e políticas necessárias para prevenir, detectar, documentar e agir contra ameaças à informação visando impedir que qualquer dano seja causado aos dados da organização.
Nosso trabalho é analisar esse conjunto de fatores para garantir que seu ambiente está seguro e protegido.

Saiba Mais

Cabeamento Estruturado e Fibra óptica

CablingCabeamento Estruturado

Experiência em projetos e implantação de redes físicas e lógicas de diversos portes, fazendo reestruturação, implementação e organização de redes de fibra óptica e cabeamento estruturado cobrindo toda infraestrutura civil, física e lógica com certificação.
Também fazemos configuração de switches, montagem de rack's e DG's.

Saiba Mais

Fale com a Convectiva



Utilize o formulário ao lado para falar conosco via chat, voz ou vídeo.


Ou se preferir, envie um e-mail para contato@convectiva.com
Nosso telefone e Whatsapp é:
(16) 3706-9795