evilgnome

EvilGnome: Un nouveau spyware sur Linux

Des chercheurs en sécurité ont découvert un spyware nommé EvilGnome sur Linux qui n’a pas été détecté par les antivirus et qui inclut des fonctionnalités rares.

La plupart des malware ciblant Linux se concentrent principalement sur les attaques de minage de cryptomonnaie et la création de botnets DDoS en prenant le contrôle de serveurs vulnérables.

Cependant, les chercheurs de Intezer Labs ont récemment découvert une nouvelle porte dérobée qui semble être en cours de développement et en phase de test mais qui inclut déjà plusieurs modules malveillants pour espionner les utilisateurs de Linux.

EvilGnome: Nouveau Spyware Linux

Le malware a été conçu pour prendre des captures d’écrans, subtiliser des fichiers, faire des enregistrements audio en utilisant le micro de la victime ainsi que télécharger et exécuter d’autres modules malveillant plus avancés.

Selon un rapport d’ Intezer Labs, l’échantillon d’EvilGnome qu’ils ont découvert sur VirusTotal contient aussi un keylogger non-fini, ce qui indiquerait qu’il a été mis en ligne accidentellement par son développeur.

evilgnome
evilgnome

Le malware EvilGnome se fait passer pour une extension GNOME normale.

Selon les chercheurs, le spyware est délivré sous forme d’archive de script shell qui génère une archive tar compressée depuis un dossier.

Le spyware gagne aussi en persistance sur le système en utilisant crontab et envoie les données subtilisées vers un serveur distant contrôlé par un pirate.

“La Persistance est obtenu en faisant gnome-shell-ext.sh s’exécuter chaque minute dans crontab. Enfin, le script exécute gnome-shell-ext.sh, qui lance ensuite l’exécutable gnome-shell-ext,” ont révélé les chercheurs.

Modules du Spyware EvilGnome

EvilGnome contient 5 modules malveillants nommés “Shooters”:

  • ShooterSound — ce module utilise PulseAudio pour faire des enregistrements audio avec le micro de la victime et les envoie vers un serveur command-and-control.
  • ShooterImage — ce module utilise la librairie open source Cairo pour faire des captures d’écrans et les envoyer vers le serveur C&C. Il fait cela en se connectant au serveur XOrg.
  • ShooterFile — ce module utilise une liste de filtre pour scanner le système de fichiers, trouver les fichiers créés récemment et les envoyer vers le serveur C&C.
  • ShooterPing — ce module les nouvelles commandes du serveur C&C, comme le téléchargement et l’exécution de nouveaux fichiers, la mise en place de nouveaux filtres pour le scan de fichiers, la mise en place de nouvelles configurations runtime, l’extraction de sorties stockées vers le serveur C&C et l’arrêt de tout les modules Shooter.
  • ShooterKey — ce module n’est pas implémenté et utilisé, il semblerait que ce soit un keylogger non fini.

Tout ces modules chiffre leurs données en sorties et déchiffre les commandes venues du serveur C&C avec une clé RC5 “sdg62_AS.sa$die3,” en utilisant une version modifiée de la librairie Russe open source.

Comment détecter le malware?

Pour savoir si votre système Linux est infecté avec le spyware EvilGnome, vous pouvez regarder dans le dossier “~/.cache/gnome-software/gnome-shell-extensions” pour voir si l’exécutable “gnome-shell-ext” est là.

Comme les antivirus et produits de sécurité ne détectent pas le malware EvilGnome, les chercheurs recommandent aux administrateurs Linux concernés de bloquer les adresses IP des serveurs Command & Control listées dans le rapport d’Intezer.

Si cet article vous a plu, jetez un oeil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de
trackback

[…] cet article vous a plu, jetez un œil à notre précédent article concernant […]