Hace años, muchos, mi mentor en Linux me invitaba a pasarme al sistema del pingüino y entre lo que me decía había un “en Linux no hay virus”. Eso ni era ni es cierto; lo que sí es cierto es que, como es más seguro y lo usamos una inmensa minoría (en escritorio), no somos el principal objetivo de los delincuentes cibernéticos. Pero ni la fortaleza ni ser un objetivo “pequeño” nos garantiza estar 100% seguros, algo que ha vuelto a demostrarse tras el descubrimiento de EvilGnome.

Lo primero que hay que tener en cuenta es que la parte “Gnome” que aparece en el nombre con el que han bautizado este virus guarda relación con el famoso entorno gráfico para Linux, pero eso no significa que vaya a afectar a unos pocos sistemas operativos. Lo mejor de todo es que su descubridor, Intezer (aquí su artículo sobre el malware) descubrió el software malicioso cuando aún estaba en las primeras fases de su desarrollo, aunque ya incluía varios peligros en forma de herramientas para espiar a los usuarios.

EvilGnome, un virus para Linux poco común

EvilGnome no se parece a la mayoría de virus que se han descubierto para Linux. Ha sido difícil descubrirlo, pero una vez en el punto de mira se ha sabido que fue diseñado para capturar todo tipo de datos de nuestro equipo, como capturas de pantalla del escritorio, robar archivos, grabar audio o incluso cargar y ejecutar otros módulos maliciosos, todo sin que nos demos cuenta de qué está pasando.

Su nombre viene porque intenta hacerse pasar por una extensión de GNOME, el entorno gráfico. Se presenta como un script creado con makeself, un pequeño script shell que genera un archivo TAR comprimido y autoextraíble desde el escritorio. Se mantiene en el sistema operativo usando crontab y envía datos a un servidor remoto propiedad del atacante.

La persistencia se logra registrando gnome-shell-ext.sh para ejecutarla cada minuto en crontab. Finalmente, el script ejecuta gnome-shell-ext.sh, que a su vez lanza el ejecutable principal gnome-shell-ext.

Un malware con 5 partes

EvilGnome está compuesto por 5 módulos, todos ellos maliciosos:

ShooterSound usa PulseAudio para grabar audio del micrófono.

usa PulseAudio para grabar audio del micrófono. ShooterImage usa Cairo para realizar capturas de pantalla.

usa Cairo para realizar capturas de pantalla. ShooterFile usa una lista de filtros para escanear archivos.

usa una lista de filtros para escanear archivos. ShooterPing recibe nuevos comandos del servidor remoto.

recibe nuevos comandos del servidor remoto. ShooterKey es un keylogger.

Los cinco módulos anteriores enviarán/recibirán los datos al/del servidor del atacante.

Para comprobar si estamos afectados, tenemos que buscar el archivo ejecutable “gnome-shel-ext” en la ruta ~/.cache/gnome-software/gnome-shell-extensions. Como he mencionado anteriormente, que EvilGnome reciba su nombre de GNOME Desktop y se haga pasar por una extensión del entorno gráfico no significa que, por ejemplo, los usuarios de Plasma estemos seguros, sobre todo si tenemos que probar mucho software. Este malware podría instalarse por sí mismo en la ruta mencionada.

Por otra parte y como siempre, se recomienda mantener el software actualizado y descargar el software solo de fuentes oficiales.