EvilGnome, nuevo y raro malware que afecta a Linux, por si pensabas que estabas a salvo

EvilGnome

Hace años, muchos, mi mentor en Linux me invitaba a pasarme al sistema del pingüino y entre lo que me decía había un “en Linux no hay virus”. Eso ni era ni es cierto; lo que sí es cierto es que, como es más seguro y lo usamos una inmensa minoría (en escritorio), no somos el principal objetivo de los delincuentes cibernéticos. Pero ni la fortaleza ni ser un objetivo “pequeño” nos garantiza estar 100% seguros, algo que ha vuelto a demostrarse tras el descubrimiento de EvilGnome.

Lo primero que hay que tener en cuenta es que la parte “Gnome” que aparece en el nombre con el que han bautizado este virus guarda relación con el famoso entorno gráfico para Linux, pero eso no significa que vaya a afectar a unos pocos sistemas operativos. Lo mejor de todo es que su descubridor, Intezer (aquí su artículo sobre el malware) descubrió el software malicioso cuando aún estaba en las primeras fases de su desarrollo, aunque ya incluía varios peligros en forma de herramientas para espiar a los usuarios.

EvilGnome, un virus para Linux poco común

EvilGnome no se parece a la mayoría de virus que se han descubierto para Linux. Ha sido difícil descubrirlo, pero una vez en el punto de mira se ha sabido que fue diseñado para capturar todo tipo de datos de nuestro equipo, como capturas de pantalla del escritorio, robar archivos, grabar audio o incluso cargar y ejecutar otros módulos maliciosos, todo sin que nos demos cuenta de qué está pasando.

Su nombre viene porque intenta hacerse pasar por una extensión de GNOME, el entorno gráfico. Se presenta como un script creado con makeself, un pequeño script shell que genera un archivo TAR comprimido y autoextraíble desde el escritorio. Se mantiene en el sistema operativo usando crontab y envía datos a un servidor remoto propiedad del atacante.

La persistencia se logra registrando gnome-shell-ext.sh para ejecutarla cada minuto en crontab. Finalmente, el script ejecuta gnome-shell-ext.sh, que a su vez lanza el ejecutable principal gnome-shell-ext.

Un malware con 5 partes

EvilGnome está compuesto por 5 módulos, todos ellos maliciosos:

  • ShooterSound usa PulseAudio para grabar audio del micrófono.
  • ShooterImage usa Cairo para realizar capturas de pantalla.
  • ShooterFile usa una lista de filtros para escanear archivos.
  • ShooterPing recibe nuevos comandos del servidor remoto.
  • ShooterKey es un keylogger.

Los cinco módulos anteriores enviarán/recibirán los datos al/del servidor del atacante.

Para comprobar si estamos afectados, tenemos que buscar el archivo ejecutable “gnome-shel-ext” en la ruta ~/.cache/gnome-software/gnome-shell-extensions. Como he mencionado anteriormente, que EvilGnome reciba su nombre de GNOME Desktop y se haga pasar por una extensión del entorno gráfico no significa que, por ejemplo, los usuarios de Plasma estemos seguros, sobre todo si tenemos que probar mucho software. Este malware podría instalarse por sí mismo en la ruta mencionada.

Por otra parte y como siempre, se recomienda mantener el software actualizado y descargar el software solo de fuentes oficiales.

Artículo relacionado:
HiddenWasp: un malware que afecta a los sistemas Linux

9 comentarios, deja el tuyo

  1.   Macana dijo

    Si comenzamos no sabiendo la diferencia entre virus, troyanos y rootkits… mal empezamos. Si echamos manos al típico tópico de “como lo usamos pocos hay menos virus”. Típica estupidez defendida por estúpidos que repiten el mantra oído alguna vez. Una mentira repetida cien veces llega a ser tomada por verdad. GNU Linux no es más seguro porque lo use menos gente, GNU Linux es más seguro porque cuenta con un sistema de permisos que lo hacen más seguro que otros sistemas operativos. Linux se nació para ser un sistema multiusuario y se ha desarrollado sobre esta premisa. Al contrario que windows, por ejemplo, que se creo prensando en ser un sistema monousuario y sobre esta base y lastrado por la retrocompatibilidad ha ido evolucionando de la manera que lo ha hecho. Problemas de diseño que se arrastran a través del tiempo. En windows muchos procesos del sistema corren con permisos de usuario normal al contrario que en linux donde para correr esos procesos se necesitan permisos de root. Ningún sistema es invulnerable pero algunos son más seguros que otros por diseño. En un mundo donde la mayor parte de los servidores de internet corren sobre Linux, sería más lógico atacar a esos servidores ya que millones de ordenadores se conectan de una u otra forma a ellos. Si envenenas la charca donde la manada bebe, envenenarás a toda la manada. Si es difícil atacar esos servidores por algo será y no es porque sean menos usados. La mayoría son GNU Linux.

    1.    Pablinux dijo

      Hola, Macana. Yo no he dicho que sea “más seguro porque lo usamos menos”, si no “como es más seguro Y lo usamos una inmensa minoría” que es muy diferente. Los desarrolladores de virus se centran en objetivos más fáciles Y que usa más gente. Los desarrolladores de virus no suelen perder el tiempo desarrollando virus para Linux porque es más seguro Y lo usa mucha menos gente. Y poderse, claro que se puede, pero no merece la pena. Si Windows es más vulnerable Y lo usa más gente, lo lógico es desarrollarlos para Windows. Incluso si Windows fuera más seguro, creo que seguirían centrándose en un sistema que ronda el 90% de cuota de mercado.

      Un saludo.

      1.    Macana dijo

        No. Los desarrolladores de virus se centran en el sistema que es más fácil de atacar, como los escaladores de fines de semana se centran en subir al Everest y no al K2. Los dessarrolladores de virus tienen mucho tiempo para perder siempre que puedan optar a conseguir un objetivo. Nadie les paga ni nadie les controla. No tienen que fichar a la entrada ni a la salida. Atacar los servidores Linux del Banco X les reportará más dinero, si lo consiguen, que atacar 1000 PCs con windows de sus usuarios. ¿Por qué no atacas entonces el servidor del banco y atacas los pcs de los usuarios? Porque es más difícil atacar al servidor incluso si tienes su código fuente a la vista. Cuestión de diseño. Un coche de Fórmula 1 no es más seguro que un utilitario porque lo use menos gente. Es más seguro porque ha sido diseñado para ser más seguro. Cuestión de diseño. Aunque en manos de un ignorante puede ser tan inseguro como un coche chino. Si quieres convertir más seguro a Windows solo tienes que renunciar a la retrocompatibilidad y reescribir el sistema desde cero, estableciendo un estricto control de cuentas de usuario (como lo hace Linux). Mientrás no lo hagas seguirá siendo un coladero porque lo único que haras será parchear y parchear hasta el infinito. Y siguiendo con los tópicos, es de tontos no usar un sistema que es más seguro que otro, independientemente por lo que creas que es más seguro. Porque estamos hablando de seguridad y no de cuantos lo usan o lo dejan de usar. Porque independientemente por lo que sea ¿es más seguro Linux que Windows, actualmente? Si ¿entonces por qué no lo usas? Porque patatin…. porque patatan…. da igual. Encontrarán mil y una excusas para no usarlo. Que si no lo usa nadie, que si no le gustan los pingüinos, que si prefieren a Batman… En psicologóa denominamos a este hecho disonanacia cognitiva.

        1.    Pablinux dijo

          He conocido a hackers y atacan/se trabajan lo que les da dinero. Sí “atacan” a bancos, no daré detalles, pero sé de uno que no trabajaba y “sacaba” su dinero de los bancos. Pero no estamos hablando de virus/malware, sino de hacking. El software malicioso tiene que funcionar automáticamente y se tiene que extender. Es decir: los ataques los hacen a lo importante que les puede dar dinero; lo automático lo extienden según base de usuarios. Android “es” Linux, lo usan el +80% de todos los usuarios del mundo y ¿qué sistema operativo móvil atacan?

  2.   Juan Gimenez dijo

    Macana:
    Mucha especulación y muuucho blablabla basado solo en su forma personal de percibir las cosas. Al kilómetro se ve que no has trabajado nunca para algo serio como un banco o datacenters gubernamentales. Si supieras que solo menos del 30% de las vulnerabilidades que se descubren se hacen eco y llegan a paginas como esta, no andarias de mentor-guru-informatico ego+9000 explicando esas estupideces que dices de la forma mas arrogante que te sale.
    Pablinux
    Jajaja ¿Así que conoces criminales y no los denuncias a las autoridades? O eres su cómplice o hablas de ti mismo en tercera persona…. jajaja cuidado con lo que dices… si es que de verdad alguien te ve cara de padre-confieso y te relatas sus motivos por lo que deberia estar en la carcel xD

    1.    Pablinux dijo

      Hola, Juan. No mantengo el contacto con esa persona. Lo conocí por medio del amigo de un amigo, con el que sí hice amistad, y llegó a ofrecerme cosas, pero lo pensé, no me acerqué a él y también terminé alejándome del otro. Ya ves que puse “he conocido”, no “conozco”. Supe lo suficiente como para saber que no quería estar cerca de ese tipo de personas. Y también para saber como “trabajaba”.

      Sobre lo de denunciar, creo que tienes razón, pero eso es algo que no piensas en esos momentos, y menos si piensas en lo que podía estar metido.

      Un saludo.

  3.   Tómbola dijo

    Los virus para Linux deben ser instalados por el usuario en su mayor parte. Incluso con una vulnerabilidad es difícil para un programa malocioso en espacio de usuario escalar privilegios de forma autónoma. Como bien dicen arriba por el sistema de permisos.

    Los problemas son los usuarios mal educados tecnológicamente por sistemas windows (en los que es lo normal buscar software en google y piratear software privativo).

    Aunque también caen piedras dentro de la comunidad de la mano de Ubuntu y MS lovers que traer el postmodernismo al los sistemas con intentonas de nuevos sistemas de instalación de software (ni que fuera difícil elegir un programa de un repositorio con software que nisiquiera muestra los paquetes como los incluidos en Debian o Fedora con su GUI incluida). O incluso con la estupidez de los sudoers… que no son sino oportunidades abiertas a los ataques por ingeniería social, donde un software malicioso o con una vulnerabilidad podría engañar al usuario y pedir la contraseña de sesión para escalar privilegios.

    Es absurdo que se compare en general un sistema MS con los cientos de distribuciones GNU/Linux en el mismo saco. Pero lo es aún más el sensacionalismo de poner al mismo nivel una comunidad que puede solucionar bugs críticos en horas, que un sistema (Windows) que puede ser infectado por un rootkit por el mero hecho de estar conectado a internet.

  4.   caranabo dijo

    Una vulnerabilidad en gnome no es lo mismo que una vulnerabilidad en Linux, cara nabos.

    1.    Puesmira dijo

      Se está hablando de GNU/Linux Caranabo. Linux es un núcleo.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.