![](\"https:\/\/1.bp.blogspot.com\/-YdM4lKyoNoo\/XS8proAHnUI\/AAAAAAAA0ew\/JtRrDF7TOpc88-UVnOdiTmLNn-LIgih6wCLcBGAs\/s728-e100\/linux-malware.png\")
<\/a><\/div>\n <\/p>\n
O malware EvilGnome se disfar\u00e7a como uma leg\u00edtima extens\u00e3o do GNOME, um programa que permite aos usu\u00e1rios do Linux ampliar a funcionalidade de seus desktops.<\/p>\n
<\/p>\n
De acordo com os pesquisadores, o implante \u00e9 entregue na forma de um script de shell de arquivo auto-extra\u00edvel criado com ‘makeself’, um pequeno script de shell que gera um arquivo tar compactado auto-extra\u00edvel de um diret\u00f3rio.<\/p>\n
<\/p>\n
O implante Linux tamb\u00e9m ganha persist\u00eancia em um sistema alvo usando o crontab, similar ao agendador de tarefas do Windows, e envia dados de usu\u00e1rios roubados para um servidor controlado por um atacante remoto.<\/p>\n
<\/p>\n
“A persist\u00eancia \u00e9 obtida registrando gnome-shell-ext.sh para rodar a cada minuto no crontab. Finalmente, o script executa o gnome-shell-ext.sh, que por sua vez inicia o execut\u00e1vel principal gnome-shell-ext”, conforme os pesquisadores.<\/p>\n
<\/p>\n
M\u00f3dulos Spyware do EvilGnome<\/strong><\/p>\n <\/p>\n
O Spy Agent do EvilGnome cont\u00e9m cinco m\u00f3dulos maliciosos chamados “Shooters”, conforme explicado abaixo:<\/p>\n
<\/p>\n
ShooterSound – este m\u00f3dulo usa o PulseAudio para capturar \u00e1udio do microfone do usu\u00e1rio e envia os dados para o servidor de comando e controle do operador.<\/p>\n
ShooterImage – este m\u00f3dulo usa a biblioteca de c\u00f3digo aberto Cairo para capturar capturas de tela e carreg\u00e1-las para o servidor C&C. Ele faz isso abrindo uma conex\u00e3o com o XOrg Display Server, que \u00e9 o back-end para a \u00e1rea de trabalho do Gnome.<\/p>\n
ShooterFile – este m\u00f3dulo usa uma lista de filtros para verificar o sistema de arquivos em busca de arquivos rec\u00e9m-criados e carrega-os no servidor C&C.<\/p>\n
ShooterPing – o m\u00f3dulo recebe novos comandos do servidor C&C, como baixar e executar novos arquivos, definir novos filtros para verifica\u00e7\u00e3o de arquivos, baixar e definir novas configura\u00e7\u00f5es de tempo de execu\u00e7\u00e3o, exfiltrar sa\u00eddas armazenadas para o servidor C&C e impedir que qualquer m\u00f3dulo de disparo seja executado.<\/p>\n
ShooterKey – este m\u00f3dulo n\u00e3o \u00e9 implementado nem usado, o que provavelmente \u00e9 um m\u00f3dulo de keylogging inacabado.<\/p>\n
<\/p>\n
Notavelmente, todos os m\u00f3dulos acima criptografam seus dados de sa\u00edda e decripam comandos recebidos do servidor C&C com a chave RC5 “sdg62_AS.sa $ die3”, usando uma vers\u00e3o modificada de uma biblioteca de c\u00f3digo aberto russa.<\/p>\n
<\/p>\n
Poss\u00edvel conex\u00e3o entre o EvilGnome e o Gamaredon Hacking Group<\/strong><\/p>\n <\/p>\n
Al\u00e9m disso, os pesquisadores tamb\u00e9m encontraram conex\u00f5es entre o EvilGnome e o Gamaredon Group, um suposto grupo de amea\u00e7a russo que est\u00e1 ativo desde 2013 e tem como alvo indiv\u00edduos que trabalham com o governo ucraniano.<\/p>\n
<\/p>\n
Logo a seguir algumas das semelhan\u00e7as entre o EvilGnome e o Gamaredon Group:<\/p>\n
<\/p>\n
O EvilGnome usa um provedor de hospedagem que tem sido usado pelo Gamaredon Group h\u00e1 anos e continua a ser usado por ele.<\/p>\n
O EvilGnome tamb\u00e9m est\u00e1 operando em um endere\u00e7o IP que foi controlado pelo grupo Gamaredon h\u00e1 dois meses.<\/p>\n
Invasores do EvilGnome tamb\u00e9m est\u00e3o usando o TTLD ‘.space’ para seus dom\u00ednios,
\nassim como o Grupo Gamaredon.<\/p>\n
O EvilGnome usa um provedor de hospedagem que tem sido usado pelo Gamaredon Group h\u00e1 anos e continua a ser usado por ele.<\/p>\n
O EvilGnome tamb\u00e9m est\u00e1 operando em um endere\u00e7o IP que foi controlado pelo grupo Gamaredon h\u00e1 dois meses.<\/p>\n
Invasores do EvilGnome tamb\u00e9m est\u00e3o usando o TTLD ‘.space’ para seus dom\u00ednios, assim como o Grupo Gamaredon.<\/p>\n
O EvilGnome emprega t\u00e9cnicas e m\u00f3dulos – como o uso de SFX, persist\u00eancia com o agendador de tarefas e a implanta\u00e7\u00e3o de ferramentas de roubo de informa\u00e7\u00f5es – que lembram as ferramentas do Windows do Gamaredon Group.<\/p>\n
<\/p>\n
Como detectar o Malware EvilGnome?<\/strong><\/p>\n <\/p>\n
Para verificar se o seu sistema Linux est\u00e1 infectado com o spyware do EvilGnome, voc\u00ea pode procurar o execut\u00e1vel “gnome-shell-ext” no diret\u00f3rio “~ \/.cache\/gnome-software\/gnome-shell-extensions”.<\/p>\n
<\/p>\n
“Acreditamos que esta \u00e9 uma vers\u00e3o de teste prematura. Antecipamos que novas vers\u00f5es sejam descobertas e analisadas no futuro, o que poderia lan\u00e7ar mais luz sobre as opera\u00e7\u00f5es do grupo”, concluem os pesquisadores.<\/p>\n
<\/p>\n
Como os produtos antiv\u00edrus e de seguran\u00e7a atualmente n\u00e3o conseguem detectar o malware EvilGnome, os pesquisadores recomendam aos administradores Linux interessados que bloqueiem os endere\u00e7os IP de Comando e Controle listados na se\u00e7\u00e3o IOC da postagem no blog do Intezer.<\/p>\n
<\/p>\n
<\/p>\n
Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2019\/07\/linux-gnome-spyware.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Pesquisadores de seguran\u00e7a descobriram uma rara parte de um spyware do Linux que atualmente n\u00e3o \u00e9 detectado em todos os principais produtos de software de seguran\u00e7a antiv\u00edrus e inclui funcionalidades raramente vistas em rela\u00e7\u00e3o \u00e0 maioria dos malwares do Linux, segundo o The Hacker News. \u00c9 um fato conhecido que h\u00e1 muito poucos malwares […]<\/p>\n","protected":false},"author":2,"featured_media":10645,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105,99],"tags":[],"class_list":["post-10643","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/10643","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=10643"}],"version-history":[{"count":20,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/10643\/revisions"}],"predecessor-version":[{"id":10666,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/10643\/revisions\/10666"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/10645"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=10643"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=10643"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=10643"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/1.bp.blogspot.com\/-30kg_uMX1_I\/XS8pxjR1CAI\/AAAAAAAA0e0\/O-eMTFICN00Z1l85q5F_EL6jZdbf52fVgCLcBGAs\/s728-e100\/linux-malware.png\")
<\/a><\/div>\n