Análisis de malware

Destacado malware: EvilGnome

enero 28, por Greg Belding

Introducción

El nombre EvilGnome puede evocar imágenes de una criatura maliciosa del folclore. En cambio, este nombre en realidad se refiere a un tipo emergente de malware detectado recientemente por investigadores de malware.

Este artículo detallará la familia de malware EvilGnome. Exploraremos qué es EvilGnome, cómo funciona EvilGnome, la anatomía del malware (incluidos los módulos) y las conexiones probables a un grupo de ataque existente, así como también cómo detectar EvilGnome.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Este malware puede parecer un tipo de malware raro que muchos nunca encontrarán. Pero para los usuarios de Linux, EvilGnome es una amenaza que conviene entender.

¿Qué es EvilGnome?

Descubierto en julio de por investigadores de seguridad de Intezer Labs, EvilGnome es una rara familia de malware que afecta a los sistemas Linux. Parte de esta rareza se debe al hecho de que hay muy pocas familias de malware para Linux en la red mundial. La otra fuente de la rareza de EvilGnome proviene de sus funcionalidades de malware raramente vistas, que deberían hacer girar la cabeza de los usuarios de Linux.

Esta novedad en el mundo de las amenazas de Linux se ve agravada por el hecho de que, a diferencia de la mayoría de las familias de malware de Linux, EvilGnome no se centra en la minería de criptomonedas ni en la creación de botnets DDoS. No, ya no estás en Kansas.

EvilGnome se presenta a los usuarios involuntarios de Linux como una extensión legítima de GNOME. Las extensiones legítimas ayudan a ampliar la funcionalidad de Linux, pero en lugar de un impulso saludable en la funcionalidad del sistema, EvilGnome comienza a espiar a los usuarios con una variedad de funcionalidades poco comunes para la mayoría de los tipos de malware de Linux.

Curiosamente, EvilGnome fue descubierto después de que su creador subiera una versión de prueba a VirusTotal, que no detectó ninguna actividad maliciosa. Si bien esto puede no parecer a muchos un error de “novato”, el hecho de que se haya incluido un registrador de teclas sin terminar muestra que el creador es inexperto o negligente. Esta función de registrador de teclas está actualmente deshabilitada de forma predeterminada.

Lo creas o no, el descuido no termina ahí. EvilGnome se entregó como una forma autoextraíble de script de shell de archivo con la ayuda de makeself SFX. Los creadores olvidaron eliminar metadatos vitales del SFX generado, incluida la fecha de creación de la muestra del 4 de julio de.

¿Cómo funciona EvilGnome?

EvilGnome comienza sus acciones maliciosas cuando un usuario instala esta extensión de shell de Gnome y se agrega un script de shell de archivado persistente al crontab. Se entrega como un script de shell de archivo autoextraíble creado con un script de shell que genera archivos tar comprimidos que son autoextraíbles.

Una vez instalado, este malware logra persistencia ejecutando gnome-shell-ext.sh en crontab una vez por minuto. Luego, el script ejecuta gnome-shell-ext.sh e inicia el ejecutable principal.

EvilGnome exhibe un profundo nivel de capacidades de espionaje contra usuarios de Linux específicos al aprovechar el poder de cinco módulos maliciosos. Algunas de estas capacidades de espionaje incluyen el robo de archivos, capturas de pantalla del escritorio, captura de audio desde el micrófono del sistema y la descarga y ejecución de otro malware en un sistema Linux específico.

La anatomía de EvilGnome

EvilGnome consta de un servidor C2 (con una dirección IP de 195.62.52.101) y cinco módulos maliciosos que realmente realizan el espionaje de los usuarios de Linux específicos, además de un agente espía. Estos módulos son:

• ShooterSound o ShooterAudio: este módulo captura audio en el micrófono del sistema Linux de destino y puede cargarlo en C2. Usó PulseAuido para capturar audio desde el micrófono. De forma predeterminada, la grabación máxima de audio está establecida en 80.000 bits, que es bastante pequeño y puede ampliarse con C2.
• ShooterImage: este módulo captura capturas de pantalla del escritorio y puede cargarlas en C2. Puede abrir una conexión a XOrg Display Server (backend de escritorio de Gnome) y puede tomar capturas de pantalla del escritorio con la biblioteca de código abierto de Cairo.
• ShooterFile: este módulo escanea el sistema Linux de destino en busca de nuevos archivos y puede cargarlos en C2. Utiliza una lista de filtros para escanear el sistema de archivos del sistema de destino, que puede ignorar archivos y carpetas específicos por completo.
• ShooterKey: este módulo está actualmente deshabilitado por sus autores y aún no se ha utilizado.
• ShooterPing: este módulo se comunica con C2 del cual recibe sus comandos maliciosos. Los comandos de C2 incluyen descargar y ejecutar un nuevo archivo, configurar filtros para escanear archivos, descargar y establecer nuevas configuraciones de tiempo de ejecución, exfiltrar la salida a C2 y detener los módulos del disparador.

Estos módulos separados se ejecutan en subprocesos separados con acceso protegido por exclusión mutua a recursos compartidos, incluida la configuración. La salida de los módulos se cifra antes de enviarse a C2 y estos también pueden descifrar la información.

¿Quién es responsable de EvilGnome?

Si bien el Grupo Gamaredon no lo admitió, los investigadores que descubrieron este malware encontraron conexiones entre los dos.

En primer lugar, el C2 de EvilGnome utiliza actualmente una dirección IP que Gamaredon utilizó a principios de este año. En segundo lugar, las técnicas utilizadas por EvilGnome recuerdan a las herramientas de Windows utilizadas por este grupo de ataque. Por último, existen algunas similitudes de infraestructura notables entre EvilGnome y campañas de ataque anteriores de Gamaredon, como el hecho de que presta servicios SSH a través del puerto 3436 y el hecho de que EvilGnome utiliza un proveedor de alojamiento que se sabe que utiliza el grupo.

Detección

Los usuarios del sistema Linux deben buscar en el directorio “~/.cache/gnome-software/gnome-shell-extensions” el ejecutable “gnome-shell-ext”. Dado que los productos antivirus actualmente no pueden detectar EvilGnome, es posible que los administradores de Linux quieran considerar bloquear también la dirección IP C2 de EvilGnome.

Conclusión

EvilGnome es una amenaza emergente de malware para Linux que se detectó por primera vez en julio de. Tomando una página del libro de malware de Windows, EvilGnome es capaz de robar una amplia variedad de información del usuario y cargarla en C2, descargar y ejecutar otro malware y más. .

Se espera que en breve aparezcan nuevas versiones de este malware. Con suerte, para entonces los productos antivirus sólidos se pondrán al día.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

1. EvilGnome: espionaje de malware poco común en usuarios de escritorio de Linux , Intezer
2. EvilGnome: un nuevo implante de puerta trasera espía a los usuarios de escritorio de Linux , The Hacker News
3. Se descubre un nuevo malware para Linux llamado EvilGnome , Linux Journal
4. EvilGnome: nuevo malware de Linux dirigido a usuarios de escritorio , SOC Prime