Av. Érico Veríssimo nº 720, sala 404
(51) 3062-8002
comercial@cnsupport.com.br

Gnomo do mal é um malware que espiona usuários de PC Linux

Gnomo do mal é um malware que espiona usuários de PC Linux

Um spyware para Linux foi encontrado por pesquisadores da Intezer Labs. Batizado de EvilGnome, ele passa despercebido pelas principais plataformas antivírus e utiliza um backdoor ainda em desenvolvimento para infectar o computador.

O EvilGnome tem a capacidade de capturar screenshots da tela do PC, roubar arquivos, gravar áudio pelo microfone e baixar e executar módulos maliciosos. Além disso, uma análise no VirusTotal mostrou que o EvilGnome ainda conta com uma funcionalidade de keylogger, ou seja, a capacidade de roubar senhas digitadas no computador — apesar disso, essa capacidade ainda não foi completamente desenvolvida, afirma o The Hacker News.PUBLICIDADE

Esse malware entra no PC da seguinte maneira: ele se mascara como uma extensão legítima conhecida como “GNOME”, que serve para estender a funcionalidade de desktops. “O implante é entregue na forma de um script shell criado com ‘makeself’, um pequeno script de shell que gera um arquivo ‘tar’ compactado que se auto extrai a partir de um diretório”, diz o THN.

Abaixo, acompanhe os módulos do spyware:

  • ShooterSound – este módulo usa o PulseAudio para capturar áudio do microfone do usuário e envia os dados para o servidor de comando e controle do operador
  • ShooterImage – este módulo usa a biblioteca de código aberto Cairo para capturar capturas de tela e carregá-las para o servidor C&C. Ele faz isso abrindo uma conexão com o XOrg Display Server, que é o back-end para a área de trabalho do Gnome
  • ShooterFile – este módulo usa uma lista de filtros para verificar o sistema de arquivos em busca de arquivos recém-criados e carrega-os no servidor C&C
  • ShooterPing – o módulo recebe novos comandos do servidor C&C, como baixar e executar novos arquivos, definir novos filtros para verificação de arquivos, baixar e definir novas configurações de tempo de execução, exfiltrar saídas armazenadas para o servidor C & C e impedir que qualquer módulo de disparo seja executado
  • ShooterKey – este módulo não é implementado nem usado, o que provavelmente é um módulo de keylogging inacabado

Para checar no seu Linux a existência do EvilGnome, procure o executável “gnome-shell-ext” no diretório “~/.cache/gnome-software/gnome-shell-extensions”.

Detalhes técnicos: https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

Fontes

The Hacker News

Tags: , , , , ,

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *