محققان اخیرا بدافزار لینوکسی کشف کرده اند که توسط اکثر آنتی ویروسهای مطرح غیر قابل شناسایی بوده و دارای ویژگی هاییست که در بدافزارهای لینوکسی کمتر دیده شده است.

تعداد بدافزارهای لینوکسی بسیار کمتر از ویروس های ویندوز است. علاوه بر معماری هسته ای لینوکس، کم بودن سهم بازار لینوکس را نیز میتوان مسبب این موضوع دانست. همچنین بدافزارهای لینوکسی ویژگی های زیادی را شامل نمیشوند.

حتی پس از کشف آسیب پذیری های بحرانی در نرم افزار ها و  نسخه های متفاوت سیستم عامل های لینوکسی در سال های اخیر، مجرمان سایبری موفق به استفاده از آن ها در حملات خود نشدند.

در عوض، تعداد زیادی از بدافزارهایی لینوکسی با هدف بدست آوردن سود مالی و همچنین ایجاد بات نت های DDoS از طریق ربودن سرورهای آسیب پذیر، روی حملات cryptocurrency mining تمرکز کرده اند.

اخیر محققان شرکت امنیتی Intezer Labs یک بکدور(Backdoor) جدید لینوکسی را کشف کرده اند که به نظر می رسد در مرحله توسعه و آزمایش است. این بکدور فعلا شامل چندین ماژول مخرب برای جاسوسی کاربران دسکتاپ لینوکس است.

 

EvilGnome: جاسوس جدید لینوکسی

بدافزار EvilGnome قابلیت اسکرین شات گرفتن، دزدیدن فایل، ضبط کردن صدای کاربران و همچنین دانلود و اجرای ماژول های مخرب دیگر را دارد.

در گزارش جدید Hacker News به نقل از Intezer lab گفته شده است که قبل از انتشار EvilGnome، نمونه ای از این بدافزار، که شامل قابلیت keylogger به صورت ناقص بوده، در VirusTotal کشف شده است. این موضوع نشان میدهد که این نسخه توسط یکی از برنامه نویسان اشتباها بارگذاری شده است.

بدافزار EvilGnome به عنوان یک افزونه قانونی Gnome که اجازه می دهد کاربران لینوکس قابلیت های بیشتری برای استفاده از دسکتاپ خود داشته باشند، ظاهر شده است.

به گفته محققان، این بدافزار به صورت یک آرشیو از شل اسکریپت های ساخته شده با makeself ارائه میشود. این شل اسکرپیت های کوچک یک آرشیو tar از  دایرکتوری ها ایجاد میکنند.

این بدافزار لینوکسی با استفاده از crontab، برنامه ای شبیه برنامه scheduler ویندوز، در سیستم قربانی ماندگار میشود و اطلاعات دزدیده شده کاربر را به سرور تحت کنترل مهاجم منتقل میکند.

محققان میگویند: gnome-shell-ext.sh به طور مرتب، هر دقیقه یک بار در crontab اجرا شده و باعث ماندگاری بدافزار میشود. و در نهایت اسکرپیت، gnome-shell-ext.sh اصلی را اجرا میکند.

ماژول های جاسوسی EvilGnome

بدافزار EvilGnome شامل ۵ ماژول زیر می باشد:

• ShooterSound: این ماژول با استفاده از PulseAudio صدای کاربران را ضبط کرده و داده ها را به سرور تحت کنترل مهاجم ارسال میکند.
• ShooterImage: این ماژول با استفاده از کتابخانه Cairo، از صفحه کابران عکس گرفته و آن ها را به سرور C&C ارسال میکند. برای این کار باید با سرور XOrg Display ، پیشتیبانی Gnome desktop، ارتباط برقرار شود.
• ShooterFile: این ماژول با استفاده از یک لیست فیلتر فایل های تازه ایجاد شده را اسکن کرده و آنها را به سرور C & C ارسال می کند.
• ShooterPing: این ماژول دستورات جدیدی مانند دانلود و اجرای فایل های جدید، تنظیم فیلتر های جدید برای اسکن فایل، تنظیم پیکربندی زمان اجرا، ارسال خروجی به C&C و متوقف کردن ماژول های دیگر را، از سرور C&C دریافت و اجرا میکند.
• ShooterKey: به احتمال زیاد این ماژول یک ماژول keylogging ناتمام است، چون فعلا استفاده ای از آن نشده است.

ماژول های فوق با استفاده از یک نسخه اصلاح شده از یک کتابخانه منبع باز روسیه، داده های خروجی خود را رمزنگاری و  دستورات دریافت شده از سرور  C&C را با کلید “sdg62_AS.sa$die3,”  رمزگشایی میکنند.

ارتباط احتمالی بدافزار EvilGnome با گروه هکران Gamaredon

محققان احتمال میدهند بدافزار EvilGnome با گروه مخرب روسیه ای به نام Gamaredon ارتباط داشته باشد. این گروه با هدف قراردادن افراد حقیقی مرتبط به دولت اوکراین، فعالیت خود را از سال ۲۰۱۳ شروع کرده است.

برخی از شباهت های گروه Gamaregon با بدافزار EvilGnome :

• هر دو از ارائه دهنده میزبان وب یکسان استفاده میکنند
• بدافزار Evilgnome از آدرس IP ای که تا دو ماه پیش متعلق به گروه Gamaregon بوده است، استفاده میکند
• هر دو از space TTLD برای دامنه های خود استفاده میکنند
• EvilGnome از تکنیک ها و ماژول های مشابه به ابزار گروه Gamaredon برای ویندوز استفاده میکند. برای مثال: SFX، ماندگاری با task scheduler و ابزارهای سرقت اطلاعات

نحوه شنایی بدافزار EvilGnome

برای اینکه مطمئن شوید سیستم لینوکسی شما به بدافزار EvilGnome آلوده نشده است، بررسی کنید که فایل gnome shell ext در مسیر “~/.cache/gnome-software/gnome-shell-extensions”

وجود نداشته باشد.

محققان باور دارند که نسخه موجود، یک نسخه آزمایشی و ناقص است؛ پیش بینی میشود که نسخه های جدیدتر و قوی تری در راه هستند.

با توجه به اینکه اکثر آنتی ویروس های مطرح قادر به شناسایی بدافزار EvilGnome نیستند، محققان به مدیران لینوکس توصیه میکنند که IP آدرس های موجود در بخش IOC وبلاگ Intezer را مسدود کنند.