Investigadores de seguridad han descubierto una pieza rara de spyware en Linux que actualmente no ha sido detectado completamente en los principales productos de software de antivirus, e incluye funcionalidades que rara vez se ven con respecto a la mayoría de los programas maliciosos de Linux.
Es un hecho conocido que existen muy pocas cepas de malware de Linux en la naturaleza en comparación con los virus de Windows debido a su arquitectura central y también a su baja participación en el mercado, y muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.
En los últimos años, incluso después de la revelación de graves vulnerabilidades críticas en varios tipos de sistemas operativos y software Linux, los ciberdelincuentes no lograron aprovechar la mayoría de ellos en sus ataques.
En cambio, una gran cantidad de malware que se enfoca en el ecosistema de Linux se centra principalmente en los ataques de minería de datos de criptomonedas para obtener ganancias financieras y para crear redes de DDoS mediante el secuestro de servidores vulnerables.
Sin embargo, los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente un nuevo implante de backdoor en Linux que parece estar en fase de desarrollo y prueba, pero ya incluye varios módulos maliciosos para espiar a los usuarios de escritorio de Linux.
EvilGnome: Nuevo Spyware para Linux
Apodado EvilGnome , el malware ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos de segunda etapa.
De acuerdo con un nuevo informe de Intezer Labs, la muestra de EvilGnome que descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargó en línea por error.
- ShooterSound : este módulo utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de comando y control del operador.
- ShooterImage : este módulo utiliza la biblioteca de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C&C. Lo hace abriendo una conexión con el servidor de visualización XOrg, que es el backend del escritorio de Gnome.
- ShooterFile : este módulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos recién creados y los carga en el servidor de C&C.
- ShooterPing : el módulo recibe nuevos comandos del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuración de tiempo de ejecución, exfiltrar la salida almacenada al servidor de C&C y detener la ejecución de cualquier módulo de disparo.
- ShooterKey : este módulo no está implementado ni se usa, lo que probablemente es un módulo de registro de teclas sin terminar.