novembre 25, 2020

Les utilisateurs du Système d’exploitation Linux espionnés par un nouveau malware au nom de EvilGnome

Le nombre de logiciels malveillants ciblant les plateformes Linux peut sembler dérisoire comparé à la myriade de virus qui foisonnent sur les plateformes Windows. Cette différence pourrait notamment s’expliquer par les particularités inhérentes à leur architecture et leur popularité respectives. De plus, un grand nombre de logiciels malveillants ciblant l’écosystème Linux se concentrent principalement sur le cryptojacking et la création de botnets pour mener des attaques DDoS.

Des chercheurs en sécurité ont récemment découvert un nouveau logiciel espion ciblant les PC Linux. Ce malware semblait être encore en phase de développement et de test, mais incluait déjà plusieurs modules malveillants pour espionner les utilisateurs de PC Linux. L’équipe de recherche de la société de cybersécurité Intezer Labs a révélé un virus, baptisé EvilGnome, qui dispose de fonctionnalités peu communes par rapport à la plupart des malwares Linux répertoriés et passait, jusqu’à lors, à travers les mailles des filets de tous les principaux antivirus du marché.

EvilGnome a été conçu pour prendre des captures d’écran de bureau, voler des fichiers, capturer des enregistrements audio depuis le microphone, mais également pour télécharger et exécuter d’autres modules malveillants, tout ça à l’insu de l’utilisateur. La version de EvilGnome découverte par Intezer Labs sur VirusTotal contenait par ailleurs une fonctionnalité inachevée de keylogger indiquant qu’il a été probablement mis en ligne par erreur par son développeur.

Selon les chercheurs, EvilGnome est un véritable logiciel espion qui se fait passer pour une extension GNOME légitime. Ce spyware est livré sous la forme d’un script shell d’archive auto-extractible créé avec « makeself », un petit script shell qui génère une archive tar compressé auto-extractible à partir d’un répertoire. Il persiste sur le système cible à l’aide de crontab, un outil similaire au planificateur de tâches de Windows, et envoie les données utilisateur volées à un serveur distant contrôlé par un attaquant.

« La persistance est obtenue en enregistrant gnome-shell-ext.sh pour l’exécuter chaque minute dans crontab. Enfin, le script exécute gnome-shell-ext.sh, qui à son tour lance l’exécutable principal gnome-shell-ext », ont dit les chercheurs.

EvilGnome intègre cinq modules malveillants appelés « Shooters » :

  • ShooterSound qui utilise PulseAudio pour capturer l’audio du microphone de l’utilisateur et télécharger les données sur le serveur de commande et de contrôle de l’opérateur ;
  • ShooterImage qui module utilise la bibliothèque open source Cairo pour effectuer des captures d’écran et les télécharger sur le serveur C&C en ouvrant une connexion au serveur XOrg Display Server ;
  • ShooterFile qui utilise une liste de filtres pour analyser le système de fichiers à la recherche de nouveaux fichiers créés et les télécharger sur le serveur C&C ;
  • ShooterPing qui reçoit de nouvelles commandes du serveur C&C, y compris la mise en veille de tous les Shooters ;
  • ShooterKey qui n’était pas encore implémenté et utilisé, probablement un module de keylogging inachevé.

Ces différents modules procèdent au chiffrement des données qu’ils envoient et déchiffrement des commandes reçues du serveur C&C avec la clé RC5 « sdg62_AS.sa$die3 » en utilisant une version modifiée d’une bibliothèque russe open source. Les chercheurs ont également trouvé des liens entre EvilGnome et Gamaredon, un groupe de menace russe présumé qui est actif depuis au moins 2013 et qui cible des individus travaillant avec le gouvernement ukrainien.

« Nous pensons qu’il s’agit d’une version de test prématurée. Nous prévoyons que de nouvelles versions seront découvertes et révisées à l’avenir, ce qui pourrait permettre de mieux comprendre les activités du groupe », ont conclu les chercheurs. Pour vérifier si votre système Linux est infecté par le spyware EvilGnome, vous pouvez chercher l’exécutable « gnome-shell-ext » dans le répertoire « ~/.cache/gnome-software/gnome-shell-extensions ».

Srouce: Ici

Related Posts

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

FR