A principios de julio, los investigadores de la empresa de seguridad informática Intezer Labs descubrieron un nuevo malware para Linux que se hace pasar por una extensión del shell GUI Gnome y está diseñado para espiar a los usuarios de este escritorios Linux confiados en el mantra de que no hay virus para Linux.
El troyano instala una puerta trasera y ha recibido el nombre de EvilGnome y que actualmente no es detectado por ninguno de los motores anti-malware en VirusTotal y viene con varias capacidades que rara vez se ven en los malware para Linux.
Según se lee en el blog de los investigadores de Interzer Labs: “Las funcionalidades de EvilGnome incluyen capturas de pantalla de escritorio, robo de archivos, que permiten capturar grabaciones de audio desde el micrófono del usuario y la capacidad de descargar y ejecutar módulos adicionales“.
EvilGnome se instala con la ayuda de un archivo autoextraíble creado con el script de shell de sí mismo, con todos los metadatos generados al crear el archivo de carga maliciosa incluido en sus encabezados, posiblemente por error.
La infección se automatiza con la ayuda de un argumento de ejecución automática que se deja en los encabezados de la carga útil autoejecutable que le indica que inicie un archivo setup.sh que agregará el agente espía del malware al directorio ~/.cache/gnome-software/gnome- shell-extensions/ , intentando colarse en el sistema de la víctima camuflado como una extensión de shell Gnome.
EvilGnome también agregará un script de shell al crontab con el nombre de gnome-shell-ext.sh, dicho script está diseñado para verificar cada minuto si el agente de spyware aún se está ejecutando.
El gnome-shell-ext.sh se ejecuta durante la etapa final del proceso de infección, lo que lleva a que también se inicie el agente de spyware gnome-shell-ext.
La configuración de EvilGnome se almacena dentro del archivo rtp.dat que también se incluye en el archivo de carga útil auto extraíble y permite que la puerta trasera obtenga la dirección IP del servidor de comando y control (C2).
El malware viene con cinco módulos, cada uno de ellos diseñado para ejecutarse en un subproceso separado y el acceso a recursos compartidos (como la configuración) está protegido por mutexes.
Intezer Labs encontró los siguientes módulos al analizar el implante de puerta trasera de EvilGnome:
- ShooterAudio: captura el audio del micrófono del usuario y lo envia al servidor C2.
- ShooterImage: captura capturas de pantalla y las envia al servidor C2.
- ShooterFile: escanea el sistema de archivos en busca de archivos recién creados y los envia al servidor C2.
- ShooterPing: recibe nuevos comandos del servidor C2, extrae datos, puede descargar y ejecutar nuevas cargas útiles.
- ShooterKey: no implementado ni utilizado, lo más probable es que sea un módulo de registro de teclas no finalizado.
Todo el tráfico enviado hacia y desde los servidores C2 del malware está cifrado y descifrado por EvilGnome con el cifrado de bloque simétrico RC5 utilizando la misma clave con la ayuda de una variante de la biblioteca de código abierto RC5Simple.
En el caso de no comunicarse con sus servidores C2, las muestras de malware analizadas por los investigadores de Intezer Labs almacenaron toda su salida y los datos robados en la carpeta ~/.cache/gnome-software/gnome-shell-extensions/tmp/ en la carpeta infectada de las computadoras con Linux.
EvilGnome también parece estar conectado con el grupo de ciberdelincuentes ruso conocido como Gamaredon Group, un grupo que crea amenazas persistentes avanzadas o APT (por sus siglas en inglés) que se sabe que ha estado activo desde al menos el año 2013, según los investigadores de amenazas de la Unidad 42 de Palo Alto Networks.
Si bien en un principio el Grupo Gamaredon se basó principalmente en herramientas disponibles en el mercado, poco a poco se ha desarrollado implantes personalizados de malware después de aumentar su experiencia técnica.
Los desarrolladores del malware EvilGnome y el Grupo Gamaredon están conectados mediante el uso del mismo proveedor de alojamiento que encontraron los investigadores de Intezer Labs, así como por el uso de los servidores C2 de EvilGnome están asociados a dominios controlados por el grupo de amenazas ruso.
Los dos también usan el puerto 3436 para conectarse a sus servidores de C2 a través de SSH, con dos servidores adicionales con nombres de dominio similares al patrón de denominación de los dominios usados por el grupo Gamaredon (el uso de .space TTLD y ddns) encontrado por los investigadores en EvilGnome.
Por último, pero no menos importante, si bien no se puede afirmar que Gamaredon Group haya creado o usado ningún implante de malware de Linux, los módulos y las técnicas utilizadas por la puerta trasera del malware Linux EvilGnome como el uso de SFX, la persistencia con el programador de tareas y el despliegue de herramientas de robo de información coincide con los utilizados por el grupo de hacking ruso.
El equipo de investigación de Intezer Labs proporciona una lista de indicadores de compromiso al final de su análisis EvilGnome, incluidos hashes de muestra de malware y direcciones IP/dominios que el malware Linux comparte con otras herramientas desarrolladas por el Grupo Gamaredon.