Um spyware para Linux foi encontrado por pesquisadores da Intezer Labs. Batizado de EvilGnome, ele passa despercebido pelas principais plataformas antivírus e utiliza um backdoor ainda em desenvolvimento para infectar o computador.
O EvilGnome tem a capacidade de capturar screenshots da tela do PC, roubar arquivos, gravar áudio pelo microfone e baixar e executar módulos maliciosos. Além disso, uma análise no VirusTotal mostrou que o EvilGnome ainda conta com uma funcionalidade de keylogger, ou seja, a capacidade de roubar senhas digitadas no computador — apesar disso, essa capacidade ainda não foi completamente desenvolvida, afirma o The Hacker News.
Esse malware entra no PC da seguinte maneira: ele se mascara como uma extensão legítima conhecida como “GNOME”, que serve para estender a funcionalidade de desktops. “O implante é entregue na forma de um script shell criado com 'makeself', um pequeno script de shell que gera um arquivo ‘tar’ compactado que se auto extrai a partir de um diretório”, diz o THN.
Abaixo, acompanhe os módulos do spyware:
- ShooterSound - este módulo usa o PulseAudio para capturar áudio do microfone do usuário e envia os dados para o servidor de comando e controle do operador
- ShooterImage - este módulo usa a biblioteca de código aberto Cairo para capturar capturas de tela e carregá-las para o servidor C&C. Ele faz isso abrindo uma conexão com o XOrg Display Server, que é o back-end para a área de trabalho do Gnome
- ShooterFile - este módulo usa uma lista de filtros para verificar o sistema de arquivos em busca de arquivos recém-criados e carrega-os no servidor C&C
- ShooterPing - o módulo recebe novos comandos do servidor C&C, como baixar e executar novos arquivos, definir novos filtros para verificação de arquivos, baixar e definir novas configurações de tempo de execução, exfiltrar saídas armazenadas para o servidor C & C e impedir que qualquer módulo de disparo seja executado
- ShooterKey - este módulo não é implementado nem usado, o que provavelmente é um módulo de keylogging inacabado
Para checar no seu Linux a existência do EvilGnome, procure o executável “gnome-shell-ext" no diretório “~/.cache/gnome-software/gnome-shell-extensions".
Fontes
Categorias