EvilGnome, un malware nouveau et rare qui affecte Linux, au cas où vous pensiez être en sécurité

MalGnome

Il y a de nombreuses années, mon mentor Linux m'a invité à passer au système pingouin et parmi ce qu'il a dit, il y avait un "sous Linux, il n'y a pas de virus". Ce n'était ni vrai ni vrai; Ce qui est certain, c'est que, comme il est plus sécurisé et utilisé par une immense minorité (sur le bureau), nous ne sommes pas la cible principale des cybercriminels. Mais ni la force ni être un "petit" objectif ne nous garantit d'être sûr à 100%, ce qui a été démontré à nouveau après la découverte de MalGnome.

La première chose à garder à l'esprit est que la partie "Gnome" qui apparaît dans le nom avec lequel ils l'ont baptisé le virus est lié au célèbre environnement graphique pour Linux, mais cela ne signifie pas que cela affectera quelques systèmes d'exploitation. Mieux encore, son découvreur, Intezer (c'est par ici ! son article sur les logiciels malveillants) a découvert le logiciel malveillant alors qu'il en était encore aux premiers stades de son développement, même s'il comportait déjà plusieurs dangers sous la forme d'outils d'espionnage des utilisateurs.

EvilGnome, un virus Linux rare

MalGnome ne ressemble pas à la plupart des virus découverts pour Linux. Il a été difficile de le découvrir, mais une fois sous les projecteurs, on sait qu'il a été conçu pour capturer toutes sortes de données de notre ordinateur, telles que des captures d'écran de bureau, le vol de fichiers, l'enregistrement audio ou même le chargement et l'exécution d'autres modules malveillants, tout cela sans que nous nous rendions compte de ce qui se passe.

Son nom vient parce qu'il essaie de se faire passer pour une extension de GNOME, l'environnement graphique. Il se présente sous la forme d'un script créé avec se faire, un petit script shell qui génère une archive TAR compressée et auto-extractible à partir du bureau. Il est conservé dans le système d'exploitation en utilisant crontab et envoie des données à un serveur distant appartenant à l'attaquant.

La persistance est obtenue en enregistrant gnome-shell-ext.sh pour s'exécuter toutes les minutes dans crontab. Enfin, le script exécute gnome-shell-ext.sh, qui à son tour lance l'exécutable principal gnome-shell-ext.

Un malware en 5 parties

EvilGnome est composé de 5 modules, tous malveillants:

  • Tireur utilisez PulseAudio pour enregistrer le son du microphone.
  • TireurImage utilisez Cairo pour prendre des captures d'écran.
  • TireurFichier utilisez une liste de filtres pour analyser les fichiers.
  • TireurPing reçoit de nouvelles commandes du serveur distant.
  • TireurClé c'est un keylogger.

Les cinq modules ci-dessus enverront / recevront les données vers / depuis le serveur de l'attaquant.

Pour vérifier si nous sommes concernés, il faut chercher le fichier exécutable "gnome-shel-ext" dans le chemin ~ / .cache / gnome-software / gnome-shell-extensions. Comme je l'ai mentionné précédemment, le fait qu'EvilGnome reçoive son nom de GNOME Desktop et prétende être une extension de l'environnement graphique ne signifie pas que, par exemple, les utilisateurs de Plasma sont en sécurité, surtout si nous devons tester beaucoup de logiciels. Ce malware pourrait s'installer dans le chemin mentionné.

D'autre part et comme toujours, il est recommandé de maintenir le logiciel à jour et de télécharger le logiciel uniquement à partir de sources officielles.

Guêpe cachée
Article connexe:
HiddenWasp: un malware qui affecte les systèmes Linux


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

9 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   macana dit

    Si nous commençons par ne pas connaître la différence entre virus, chevaux de Troie et rootkits ... nous sommes sur un mauvais départ. Si nous en arrivons au cliché typique de «combien peu l'utilisent, il y a moins de virus». Bêtise typique défendue par des gens stupides qui répètent le mantra une fois entendu. Un mensonge répété cent fois vient à être pris pour la vérité. GNU Linux n'est pas plus sécurisé car moins de personnes l'utilisent, GNU Linux est plus sécurisé car il dispose d'un système d'autorisation qui le rend plus sécurisé que les autres systèmes d'exploitation. Linux est né pour être un système multi-utilisateurs et a été développé sur cette prémisse. Contrairement à Windows, par exemple, qui a été créé en voulant devenir un système mono-utilisateur et sur cette base et alourdi par la rétrocompatibilité, il a évolué comme il l'a fait. Problèmes de conception qui rampent avec le temps. Dans Windows, de nombreux processus système s'exécutent avec des autorisations utilisateur normales, contrairement à Linux où pour exécuter ces processus, vous avez besoin des autorisations root. Aucun système n'est invulnérable, mais certains sont plus sûrs que d'autres de par leur conception. Dans un monde où la plupart des serveurs Internet fonctionnent sous Linux, il serait plus logique d'attaquer ces serveurs puisque des millions d'ordinateurs s'y connectent d'une manière ou d'une autre. Si vous empoisonnez l'étang où le troupeau boit, vous empoisonnerez tout le troupeau. S'il est difficile d'attaquer ces serveurs pour quelque chose, ce sera le cas et ce n'est pas parce qu'ils sont moins utilisés. La plupart sont GNU Linux.

    1.    pablinux dit

      Bonjour, Macana. Je n'ai pas dit qu'il est «plus sûr parce que nous l'utilisons moins», mais plutôt «parce qu'il est plus sûr et qu'une immense minorité l'utilise», ce qui est très différent. Les développeurs de virus se concentrent sur des cibles plus faciles ET sur une cible que plus de gens utilisent. Les développeurs de virus perdent rarement du temps à développer des virus pour Linux car il est plus sécurisé ET est utilisé par beaucoup moins de personnes. Et pouvoir, bien sûr, c'est possible, mais cela n'en vaut pas la peine. Si Windows est plus vulnérable ET que plus de gens l'utilisent, la chose logique est de les développer pour Windows. Même si Windows était plus sécurisé, je pense qu'ils continueraient à se concentrer sur un système qui représente environ 90% de part de marché.

      Salutations.

      1.    macana dit

        Les développeurs de virus se concentrent sur le système le plus facile à attaquer, comme les grimpeurs du week-end se concentrent sur l'escalade de l'Everest et non sur K2. Les développeurs de virus ont beaucoup de temps à perdre tant qu'ils peuvent choisir d'atteindre un objectif. Personne ne les paie et personne ne les contrôle. Ils n'ont pas besoin de pointer à l'entrée ou à la sortie. Attaquer les serveurs Linux de Bank X leur rapportera plus d'argent, s'ils réussissent, que d'attaquer 1000 PC Windows de leurs utilisateurs. Alors pourquoi ne pas attaquer le serveur de la banque et attaquer les PC des utilisateurs? Parce qu'il est plus difficile d'attaquer le serveur même si vous avez son code source en vue. Problème de conception. Une voiture de Formule 1 n'est pas plus sûre qu'un véhicule utilitaire car moins de gens l'utilisent. Il est plus sûr car il a été conçu pour être plus sûr. Problème de conception. Bien qu'elle soit entre les mains d'un ignorant, elle peut être aussi dangereuse qu'une voiture chinoise. Si vous souhaitez effectuer une conversion vers Windows plus sécurisée, il vous suffit de renoncer à la rétrocompatibilité et de réécrire le système à partir de zéro, en établissant un contrôle strict du compte utilisateur (comme le fait Linux). Tant que vous ne le faites pas, cela continuera à être un drain car tout ce que vous ferez est de patcher et de patcher à l'infini. Et pour continuer avec les sujets, il est insensé de ne pas utiliser un système plus sécurisé qu'un autre, indépendamment de ce que vous pensez être le plus sécurisé. Parce que nous parlons de sécurité et non de combien l'utilisent ou cessent de l'utiliser. Parce qu'indépendamment de ce que c'est, Linux est-il plus sûr que Windows, actuellement? Si alors pourquoi ne pas l'utiliser? Parce que patatin…. parce qu'ils patates…. n'a pas d'importance. Ils trouveront mille et une excuses pour ne pas s'en servir. Que si personne ne l'utilise, s'ils n'aiment pas les pingouins, s'ils préfèrent Batman ... En psychologie, on appelle cela la dissonance cognitive.

        1.    pablinux dit

          J'ai rencontré des hackers et ils attaquent / travaillent ce qui leur rapporte de l'argent. S'ils "attaquent" les banques, je ne donnerai pas de détails, mais j'en connais un qui n'a pas travaillé et "a pris" son argent aux banques. Mais nous ne parlons pas de virus / malware, mais de piratage. Les logiciels malveillants doivent fonctionner automatiquement et doivent se propager. C'est-à-dire: les attaques les font à l'important qui peut leur donner de l'argent; l'automatique est étendu en fonction de la base d'utilisateurs. Android "est" Linux, il est utilisé par + 80% de tous les utilisateurs dans le monde et quel système d'exploitation mobile attaquent-ils?

  2.   Juan Giménez dit

    Macana :
    Beaucoup de spéculations et de looooong blablabla basés uniquement sur votre façon personnelle de percevoir les choses. Au kilomètre, vous pouvez voir que vous n'avez jamais travaillé pour quelque chose de sérieux comme une banque ou des centres de données gouvernementaux. Si vous saviez que moins de 30% des vulnérabilités découvertes sont répercutées et atteignent des pages comme celle-ci, vous ne vous promèneriez pas en tant que mentor-gourou-ego + 9000 expliquant ces choses stupides que vous dites de la manière la plus arrogante qui sort.
    pablinux
    Hahaha Alors vous connaissez des criminels et ne les dénoncez pas aux autorités? Soit vous êtes son complice, soit vous parlez de vous à la troisième personne…. hahaha fais attention à ce que tu dis ... si quelqu'un te voit vraiment comme un père - je l'avoue et je te dis ses raisons pour lesquelles il devrait être en prison xD

    1.    pablinux dit

      Salut Jean. Je ne reste pas en contact avec cette personne. Je l'ai rencontré par l'intermédiaire d'un ami d'un ami, avec qui je suis devenu ami, et il est venu me proposer des choses, mais j'y ai pensé, je ne me suis pas rapproché de lui et j'ai aussi fini par me distancer de l'autre. Vous voyez, j'ai mis «j'ai su», pas «je sais». J'en savais assez pour savoir que je ne voulais pas être avec ce genre de personnes. Et aussi pour savoir comment cela "fonctionnait".

      Concernant le reportage, je pense que vous avez raison, mais c'est quelque chose auquel vous ne pensez pas à l'époque, et encore moins si vous pensez à ce qui pourrait être impliqué.

      Salutations.

  3.   Tómbola dit

    Les virus pour Linux doivent être installés par l'utilisateur pour la plupart. Même avec une vulnérabilité, il est difficile pour un mauvais programme de l'espace utilisateur d'augmenter ses privilèges de manière autonome. Comme on dit plus haut pour le système de permis.

    Les problèmes sont les utilisateurs mal formés technologiquement par les systèmes Windows (dans lesquels il est normal de rechercher des logiciels dans Google et des logiciels propriétaires pirates).

    Bien que les pierres tombent également dans la communauté de la main des amateurs d'Ubuntu et de MS qui apportent le postmodernisme aux systèmes avec des tentatives de nouveaux systèmes d'installation de logiciels (ni qu'il était difficile de choisir un programme dans un référentiel avec un logiciel qui ne montre même pas les packages comme ceux inclus dans Debian ou Fedora avec leur interface graphique incluse). Ou même avec la stupidité des sudoers ... qui ne sont que des opportunités ouvertes aux attaques par ingénierie sociale, où des logiciels malveillants ou une vulnérabilité pourraient tromper l'utilisateur et demander le mot de passe de session pour élever les privilèges.

    Il est absurde qu'un système MS soit généralement comparé aux centaines de distributions GNU / Linux dans le même sac. Mais plus encore est le sensationnalisme de mettre une communauté capable de résoudre des bogues critiques en quelques heures au même niveau qu'un système (Windows) qui peut être infecté par un rootkit du simple fait d'être connecté à Internet.

  4.   caranabo dit

    Une vulnérabilité dans gnome n'est pas la même chose qu'une vulnérabilité dans Linux, chers navets.

    1.    Eh bien regarde dit

      Ils parlent de GNU / Linux Caranabo. Linux est un noyau.