EvilGnome: 1 nouveau spyware sur les systèmes Linux

Des chercheurs en sécurité informatique ont découvert un spyware nommé EvilGnome qui cible les systèmes Linux. Ce logiciel malveillant n’a pas été détecté par les antivirus et inclut des fonctionnalités rares.

La plupart des malware ciblant Linux se concentrent principalement sur les attaques de minage de cryptomonnaie et la création de botnets DDoS en prenant le contrôle de serveurs vulnérables.

Cependant, les chercheurs en sécurité informatique de Intezer Labs ont récemment découvert une nouvelle porte dérobée qui semble être en cours de développement et en phase de test mais qui inclut déjà plusieurs modules malveillants pour espionner les utilisateurs de Linux.

EvilGnome: Nouveau Spyware Linux

Le malware EvilGnome a été conçu pour prendre des captures d’écrans, subtiliser des fichiers, faire des enregistrements audio en utilisant le micro de la victime ainsi que télécharger et exécuter d’autres modules malveillant plus avancés.

Selon un rapport d’ Intezer Labs, l’échantillon d’EvilGnome qu’ils ont découvert sur VirusTotal contient aussi un keylogger non-fini, ce qui indiquerait qu’il a été mis en ligne accidentellement par son développeur.

evilgnome
evilgnome

Le malware EvilGnome se fait passer pour une extension GNOME normale.

Selon les chercheurs, le spyware est délivré sous forme d’archive de script shell qui génère une archive tar compressée depuis un dossier.

Le spyware gagne aussi en persistance sur le système en utilisant crontab et envoie les données subtilisées vers un serveur distant contrôlé par un pirate.

“La Persistance est obtenu en faisant gnome-shell-ext.sh s’exécuter chaque minute dans crontab. Enfin, le script exécute gnome-shell-ext.sh, qui lance ensuite l’exécutable gnome-shell-ext,” ont révélé les chercheurs.

Modules du spyware EvilGnome

EvilGnome contient 5 modules malveillants nommés “Shooters”:

  • ShooterSound — ce module utilise PulseAudio pour faire des enregistrements audio avec le micro de la victime et les envoie vers un serveur command-and-control.
  • ShooterImage — ce module utilise la librairie open source Cairo pour faire des captures d’écrans et les envoyer vers le serveur C&C. Il fait cela en se connectant au serveur XOrg.
  • ShooterFile — ce module utilise une liste de filtre pour scanner le système de fichiers, trouver les fichiers créés récemment et les envoyer vers le serveur C&C.
  • ShooterPing — ce module les nouvelles commandes du serveur C&C, comme le téléchargement et l’exécution de nouveaux fichiers, la mise en place de nouveaux filtres pour le scan de fichiers, la mise en place de nouvelles configurations runtime, l’extraction de sorties stockées vers le serveur C&C et l’arrêt de tout les modules Shooter.
  • ShooterKey — ce module n’est pas implémenté et utilisé, il semblerait que ce soit un keylogger non fini.

Tout ces modules chiffrent leurs données en sorties et déchiffrent les commandes venues du serveur C&C avec une clé RC5 “sdg62_AS.sa$die3,” en utilisant une version modifiée de la librairie Russe open source.

Comment détecter le malware?

Pour savoir si votre système Linux est infecté avec le spyware EvilGnome, vous pouvez regarder dans le dossier “~/.cache/gnome-software/gnome-shell-extensions” pour voir si l’exécutable “gnome-shell-ext” est là.

Comme les antivirus et produits de sécurité ne détectent pas le malware EvilGnome, les chercheurs recommandent aux administrateurs Linux concernés de bloquer les adresses IP des serveurs Command & Control listées dans le rapport d’Intezer.

Si cet article vous a plu, jetez un oeil à notre précédent article.

1
Poster un Commentaire

avatar
1 Fils de commentaires
0 Réponses de fil
0 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
0 Auteurs du commentaire
KDE Linux, possibilité de piratage sans ouvrir de fichier malveillant - TechSecuriteNews Auteurs de commentaires récents
  S’abonner  
le plus récent le plus ancien le plus populaire
Notifier de
trackback

[…] cet article vous a plu, jetez un œil à notre précédent article concernant […]