Gnomo do mal é um malware que espiona usuários de Linux

Um spyware para Linux foi encontrado por pesquisadores da Intezer Labs. Batizado de EvilGnome, ele passa despercebido pelas principais plataformas antivírus e utiliza um backdoor ainda em desenvolvimento para infectar o computador.

O EvilGnome tem a capacidade de capturar screenshots da tela do PC, roubar arquivos, gravar áudio pelo microfone, baixar e executar módulos maliciosos. Além disso, uma análise no VirusTotal mostrou que o EvilGnome ainda conta com uma funcionalidade de keylogger, ou seja, a capacidade de roubar senhas digitadas no computador apesar disso, essa capacidade ainda não foi completamente desenvolvida, afirma o The Hacker News .

Acesse os detalhes técnicos do EvilGnome aqui!

Esse malware entra no PC da seguinte maneira: ele se mascara como uma extensão legítima conhecida como “GNOME”, que serve para estender a funcionalidade de desktops. “O implante é entregue na forma de um script shell criado com ‘makeself’, um pequeno script de shell que gera um arquivo ‘tar’ compactado que se auto extrai a partir de um diretório”, diz o THN.

Abaixo, acompanhe os módulos do spyware:

  • ShooterSound - este módulo usa o PulseAudio para capturar áudio do microfone do usuário e envia os dados para o servidor de comando e controle do operador.
  • ShooterImage - este módulo usa a biblioteca de código aberto Cairo para capturar capturas de tela e carregá-las para o servidor C&C. Ele faz isso abrindo uma conexão com o XOrg Display Server, que é o back-end para a área de trabalho do Gnome.
  • ShooterFile - este módulo usa uma lista de filtros para verificar o sistema de arquivos em busca de arquivos recém-criados e carrega-os no servidor C&C.
  • ShooterPing - o módulo recebe novos comandos do servidor C&C, como baixar e executar novos arquivos, definir novos filtros para verificação de arquivos, baixar e definir novas configurações de tempo de execução, filtrar saídas armazenadas para o servidor C & C e impedir que qualquer módulo de disparo seja executado.
  • ShooterKey - este módulo não é implementado nem usado, o que provavelmente é um módulo de keylogging inacabado.

Para checar no seu Linux a existência do EvilGnome, procure o executável “gnome-shell-ext" no diretório “~/.cache/gnome-software/gnome-shell-extensions".

Fonte: The Hacker News

6 curtidas

mais um motivo porque eu nunca utilizei extensões no gnome desde a versão 16.04.5!

e ainda removo todas as extensões que veio nos ubuntus lançados com gnome como principal!

Quem quiser seguir o meu conselho e remover as extensões que vem com os novos ubuntus!
segurança em 1º lugar.

sudo apt-get remove gnome-shell-extension-desktop-icons
sudo apt-get remove gnome-shell-extension-ubuntu-dock

Honestamente, remover extensões do repositório não aumenta a segurança. A vulnerabilidade que o EvilGnome explora não é nas extensões do Ubuntu, mas sim do usuários que vão atrás de extensões fora do repositório.

De fato, o motivo pelo qual temos repositórios nas distribuições Linux é justamente termos uma base de software ampla, confiável e assegurada como livre de vírus.

11 curtidas

Não adianta muita coisa isso não, remover o gnome, sim, ajuda muito

1 curtida

Nome curioso, lembra a informática das décadas de 90 e 80.

1 curtida

E como ele conseguia tanto acesso assim sem solicitar senha? Fazia tudo sem o sudo?

Não precisa de senha root para executar tais tarefas.

2 curtidas

Fazia sem root, nada daquilo é travado quando programas são rodados em nome do usuário (o que é travado é o acesso aos arquivos de instalação do sistema).

Parte da proposta do Flatpak (ou programas normais + Firejail)/Wayland/Pipewire/etc. é trocar essa política do “confia no que o usuário disse para rodar” por um acesso mais bem “regulado”.

2 curtidas

Entendi. É verdade, não teria sentido pedir senha toda a vez para eu querer tirar uma screenshot.

Obrigado pelas respostas.

Que coisa, né. Hoje em dia ninguém tem mais sossego. Mas nesse caso tem lado bom, estamos começando a ser dotados, e pro mundo linux isso pode ser um bom sinal. Por outro lado também exige muito mais atenção por parte dos desenvolvedores e de nós usuários.

1 curtida

Provavelmente usuários estão instalando extensões fora do Gnome-Extensions o que nunca recomento.