A principios de julio, los investigadores de Intezer Labs descubrieron un nuevo malware para Linux que se hace pasar por una extensión de shell de Gnome y está diseñado para espiar a los usuarios de escritorios de Linux confiados.

El implante de puerta trasera denominado EvilGnome actualmente no es detectado por ninguno de los motores anti-malware en VirusTotal y viene con varias capacidades que rara vez se ven en las cepas de malware de Linux.

«Las funcionalidades de EvilGnome incluyen capturas de pantalla de escritorio, robo de archivos, que permiten capturar grabaciones de audio desde el micrófono del usuario y la capacidad de descargar y ejecutar módulos adicionales», encontraron los investigadores de Intezer.

«El implante contiene una funcionalidad de keylogger sin terminar, comentarios, nombres de símbolos y metadatos de compilación que normalmente no aparecen en las versiones de producción».

Infección a través de archivos auto-extraíbles.

EvilGnome se entrega con la ayuda de un archivo autoextraíble creado con el script de shell de sí mismo, con todos los metadatos generados al crear el archivo de carga maliciosa incluido en sus encabezados, posiblemente por error.

La infección se automatiza con la ayuda de un argumento de ejecución automática que se deja en los encabezados de la carga útil autoejecutable que le indica que inicie un archivo setup.sh  que agregará el agente espía del malware a  ~ / .cache / gnome-software / gnome- shell-extensions / folder, intentando colarse en el sistema de la víctima camuflado como una extensión de shell Gnome.

 

Metadatos de carga útil auto extraíbles
Metadatos de carga útil auto extraíbles

 

EvilGnome también agregará un  script de shell gnome-shell-ext.sh  al crontab de la máquina Linux comprometida, un script diseñado para verificar cada minuto si el agente de spyware aún se está ejecutando.

El gnome-shell-ext.sh se ejecuta durante la etapa final del proceso de infección, lo que lleva a que también se inicie el agente de spyware gnome-shell-ext.

La configuración de EvilGnome se almacena dentro del archivo rtp.dat también se incluye en el archivo de carga útil auto extraíble y permite que la puerta trasera obtenga la dirección IP del servidor de comando y control (C2).

Múltiples módulos de puerta trasera con características de spyware.

El malware viene con cinco módulos, cada uno de ellos diseñado para ejecutarse en un subproceso separado, y el acceso a recursos compartidos (como la configuración) está protegido por mutexes.

Intezer Labs encontró los siguientes módulos al analizar el implante de puerta trasera EvilGnome:

• ShooterAudio: captura el audio del micrófono del usuario y lo carga en C2
• ShooterImage – captura capturas de pantalla y las carga en C2
• ShooterFile – escanea el sistema de archivos en busca de archivos recién creados y los carga en C2
• ShooterPing – recibe nuevos comandos de C2, exfiltrados datos, puede descargar y ejecutar nuevas cargas útiles
• ShooterKey – no implementado y no utilizado, muy probablemente un módulo de registro de teclas sin terminar

Todo el tráfico enviado hacia y desde los servidores C2 del malware está cifrado y descifrado por EvilGnome con el cifrado de bloque simétrico RC5  utilizando la misma clave con la ayuda de una variante de la biblioteca de código abierto RC5Simple .

En el caso de no comunicarse con sus servidores C2, las muestras de malware analizadas por los investigadores de Intezer almacenaron toda su salida y los datos robados en la  carpeta ~ / .cache / gnome-software / gnome-shell-extensions / tmp / en la carpeta infectada Cajas de Linux.

 

Módulos EvilGnome
Módulos EvilGnome

Conexiones con el Grupo Ruso Gamaredon

EvilGnome también parece estar conectado con el grupo de amenazas ruso conocido como Gamaredon Group, un grupo avanzado de amenazas persistentes (APT) que se sabe que ha estado activo desde al menos 2013, según los investigadores de amenazas de la Unidad 42 de Palo Alto Networks.

Si bien en un principio el Grupo Gamaredon se basó principalmente en herramientas disponibles en el mercado, poco a poco se ha desarrollado en el desarrollo de implantes personalizados de malware después de aumentar su experiencia técnica.

Los desarrolladores de malware EvilGnome y el Grupo Gamaredon están conectados mediante el uso del mismo proveedor de alojamiento que encontraron los investigadores de Intezer, así como por el uso de los servidores C2 de EvilGnome conectados a dominios asociados al grupo de amenazas ruso.

Los dos también usan el puerto 3436 para conectarse a sus servidores C2 a través de SSH, con «dos servidores adicionales con nombres de dominio similares al patrón de denominación de los dominios Gamaredon (el uso de .space TTLD y ddns)» encontrado por los investigadores en EvilGnome Proveedor de host C2.

 

Los puertos SSH se abren en los servidores EvilGnome C2 y Gamaredon
Los puertos SSH se abren en los servidores EvilGnome C2 y Gamaredon

 

Por último, pero no menos importante, si bien no se sabe que Gamaredon Group haya desarrollado o usado ningún implante de malware de Linux, los módulos y las técnicas utilizadas por la puerta trasera de Linux EvilGnome como «el uso de SFX, la persistencia con el programador de tareas y el despliegue de herramientas de robo de información «coincide con los utilizados por el grupo de hacking ruso.

El equipo de investigación de Intezer proporciona una lista de indicadores de compromiso (IOC) al final de su análisis EvilGnome , incluidos hashes de muestra de malware y direcciones IP / dominios que el implante de puerta trasera de Linux comparte con otras herramientas desarrolladas por el Grupo Gamaredon.

Fuente: bleepingcomputer.com

Compartir