Ukryte malware w rozszerzeniu dla środowiska Gnome

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56075
Na początku lipca
Zaloguj lub Zarejestruj się aby zobaczyć!
nowy, zupełnie niewykrywalny dotąd backdoor dla systemu Linux. Analiza ujawniła dowody, które wskazują na pewne podobieństwa operacyjne pomiędzy wykrytym teraz złośliwym oprogramowanie a grupą Gamaredon. Ów cybergrupa przestępcza
Zaloguj lub Zarejestruj się aby zobaczyć!
przez ukraiński CERT jeszcze w 2018 roku, kiedy wraz ze Służbą Wywiadu Zagranicznego Ukrainy ogłoszono wykrycie na urządzeniach rządowych backdoora Pterodo powiązanego z rosyjskimi hakerami. Służba Bezpieczeństwa Ukrainy (SBU) powiązała jednostkę Gamaredon z Federalną Służbą Bezpieczeństwa Rosji (FSB). Wówczas doniesienia ukraińskiego CERT-u wskazywały na to, że te działania przestępcze były przygotowywaniem się do czegoś większego.

Wracając do Linuksa — wykryte złośliwe oprogramowanie zostało umieszczone w repozytorium z rozszerzeniami do powłoki graficznej GNOME. Próbka szkodnika, zdaniem ekspertów, była jeszcze w fazie testowej, ponieważ posiadała niedokończoną funkcję keyloggera. Niestety pozostałe funkcje szkodliwego oprogramowania działają i obejmują:
  • wykonywanie zrzutów ekranu,
  • kradzież plików,
  • nagrywanie rozmów z mikrofonu,
  • możliwość pobierania i uruchamia kolejnych modułów.
Jak sprawdzić potencjalną infekcję backdoorem dla systemu Linux?

Po pobraniu rozszerzenia paczka zawierała następujące pliki:
  • gnome-shell-ext: plik wykonywalny agenta szpiegowskiego
  • gnome-shell-ext.sh: skrypt sprawdza, czy gnome-shell-ext już działa, a jeśli nie to go uruchamia
  • rtp.dat: plik konfiguracyjny dla gnome-shell-ext
  • setup.sh: skrypt instalacyjny, który jest uruchamiany po rozpakowaniu paczki
Zaleca się, aby użytkownicy, którzy chcą sprawdzić, czy ich komputery są zainfekowane, zajrzeli do ukrytej lokalizacji w katalogu głównym w profilu użytkownika […]:
Kod:
Zaloguj lub Zarejestruj się aby zobaczyć!
[…] w poszukiwaniu pliku wykonywalnego gnome-shell-ext.
Kliknij aby rozwinąć...
Cały artykuł:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Zaatakowano polski szpital i oczyszczalnię. Kierunek rosyjski
Odpowiedzi
0
Wyświetleń
83
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Oracle w końcu się przyznało. Dane klientów zostały skradzione z chmury
Odpowiedzi
0
Wyświetleń
99
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Prawdopodobny wyciek danych klientów empik, dane rzekomo wykradzione z Empiku zostały sprytnie sfałszowane
Odpowiedzi
0
Wyświetleń
162
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
Wyciekły dane klientów kolejnych polskich sklepów
Odpowiedzi
0
Wyświetleń
195
OXYGEN THIEF
OXYGEN THIEF
OXYGEN THIEF
W popularnym sprzęcie medycznym wykryto chińskiego backdoora. Pilne zalecenie...
Odpowiedzi
0
Wyświetleń
165
OXYGEN THIEF
OXYGEN THIEF
Do góry