Появился очередной вредонос EvilGnome для операционной системы LINUX, об этом сообщает SecurityLab.ru и другие источники.
На этот раз это не майнер, а редко-шпионское ПО, именно так его и назвали. Назвали так потому, что это шпионское ПО включает в себя редкий для LINUX вредоносо-функциональные возможности.
Какие возможности имеет данный вредонос?
Похищать файлы, делать скриншоты экрана, записывать звук с микрофона. Также он может себя модернизировать, закачивая для себя дополнительно вредоносные модули.
Каким образом вредонос попадает на LINUX машину?
Кстати название EvilGnome намекает на то, что скорее всего он будет работать на дистрибутивах LINUX с графической оболочкой GNOME.
Так вот, вредонос маскируется под официальное расширение GNOME.
Что это за расширение?
Для того, чтобы расширить функционал графической оболочки GNOME, можно зайти на официальный сайт GNOME EXTENSIONS и докачать оттуда расширение. Например, вывести GNOME SHELL GLOBAL MENU, погоду, другую модицикацию меню, короче говоря это что-то типа апплетов, которые были в GNOME 2
Выглядит вредонос, как небольшой SHELL скрипт, который сам распаковывается. Никакие антивирусы вообще ещё не научились находить данный вредонос.
Тогда каким образом данный вредонос вообще нашли?
А нашли вредонос исследователи компании Intezer Labs.
Вообще интересно, насколько грамотно злоумышленники заставили работать на себя Open Source компонент. EvilGnome содержит 5 вредоносных модулей, под общим названием Shooters. Например, ShoterSound использует PulseAudio для записи звука с микрофона, ShooterImage использует библиотеку Cairo с открытым исходным кодом для создания скриншотов. Также есть модуль ShooterFile, ShooterPing и ShooterKey, который понятное дело используется для кейлоггинга, хотя ещё пока не задействован. Короче ребята потрудились на славу.
Что советует Intezer Labs, и как бороться с вирусом вредоносом EvilGnome?
Они рекомендуют блокировать ip-адреса управляющих серверов. Что это за адреса такие, можно узнать в блоге Intezer Labs.