EvilGnome, el virus que ataca a Linux

Tenemos el concepto de que Linux no tiene virus, pero esto se ha convertido en un mito. Hoy ya es posible encontrar malware y vulnerabilidades para cualquier sistema operativo, tanto para Windows como para macOS e incluso Linux, lo que si debemos de reconocer es que para este sistema operativo las amenazas son mucho menos frecuentes que para los otros dos sistemas operativos, especialmente Windows.

La mayoría del malware para sistemas Linux se centra en el minado de criptomonedas y en crear botnets a partir de equipos vulnerables. Por ahora hablaremos de un spyware bastante complejo diseñado para espiar a los usuarios de Linux: EvilGnome.

Investigadores de Intezer Labs descubrieron un spyware para Linux llamado EvilGnome, este software espía pasa desapercibido por las principales plataformas antivirus y utiliza una backdoor que aún se encuentra en desarrollo.

EvilGnome se camuflajea en una extensión para el escritorio GNOME (que es el escritorio más utilizado entre los usuarios de este sistema operativo), cuando este spyware infecta, puede hacer prácticamente cualquier cosa con la PC, desde tomar capturas de pantalla hasta robar archivos personales, grabar audio y vídeo e incluso descargar módulos para obtener más funcionalidades.

EvilGnome tiene la capacidad de hacer capturas de pantalla desde la pantalla de tu PC, robar archivos, grabar audio a través del micrófono y descargar y ejecutar módulos maliciosos. Además, un análisis realizado por VirusTotal mostró que EvilGnome aún posee una funcionalidad de registrador de teclas, es decir, tiene la capacidad de robar contraseñas escritas en la computadora; sin embargo, esta capacidad aún no se ha desarrollado completamente, dice la The Hacker News.

EvilGnome: un complejo spyware para Linux que, además, no lo detecta ningún antivirus

¿Como ingresa a tu SO?

Este spyware se enmascara como una extensión conocida como “GNOME“, que su función es extender la funcionalidad del escritorio. “El programa se entrega en forma de un script de shell creado con ‘makeself’, un pequeño script de shell que genera un archivo ‘tar’ comprimido que se extrae automáticamente de un directorio”.

Módulos que ejecuta este spyware

ShooterSound: hace uso de PulseAudio para capturar secuencias del micrófono del usuario y subir las grabaciones al servidor de control.

ShooterImage: usa la librería Cairo y toma capturas de pantalla para posteriormente subirlas al servidor de control remoto.

ShooterFile: realiza un escanea periódico a los discos duros para detectar ficheros nuevos y enviarlos al servidor de control.

ShooterPing: controlar el spyware de forma remota, adicional a esto descarga y ejecuta nuevos archivos o módulos para llevar el ataque a un nuevo nivel.

ShooterKey: este módulo implementa un keylogger, no funciona ya que su desarrollo no fue finalizado.

Los archivos de EvilGnome se encuentran dentro de la ruta /.cache/gnome-software/gnome-shell-extensions/ de esta manera las víctimas no sospechen de él al pensar que se trata de una extensión para este escritorio. Además, cuando se infecta el ordenador se crea una tarea programada en cronjob que ejecuta cada minuto el script gnome-shell-ext.sh, script que comprueba si se está ejecutando el spyware y, de lo contrario vuelve a lanzarlo.

Existe un archivo llamado rtp.dat, que contiene toda la información para conectarse al servidor de control remoto C2 controlado por los hackers. La conexión con este servidor se realiza siempre de forma segura utilizando una clave RC5.

¿Tu PC se infectó con EvilGnome?

Una de las formas más sencillas de saber si estamos o no infectados es comprobar si existe el ejecutable «gnome-shell-ext» dentro de la ruta «~/.cache/gnome-software/gnome-shell-extensions».

Como los antivirus para Linux no sirven de nada frente a esta amenaza, en caso de estar infectados lo que aplica es eliminar todo el rastro de este spyware en la ruta antes mencionada. Además, también se recomienda bloquear el puerto 3436 utilizado por el spyware para conectarse al servidor remoto y bloquear las IPs que podemos encontrar en el fichero rtp.dat.

Según investigaciones, se piensa que este malware puede estar relacionado con Gamaredon, un grupo de piratas informáticos que actúa desde Rusia, aunque no se ha podido demostrar su conexión aún. Lo que sí se tiene claro es que este spyware no lo han terminado, sino que por alguna razón se ha filtrado en una fase temprana de desarrollo.

Es posible que, dentro de un tiempo, EvilGnome vuelva a la red mucho más complejo y peligroso que ahora, por lo que debemos extremar precauciones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *