Un nuevo malware de Linux enmascarado como una extensión de GNOME Shell y diseñado para espiar a usuarios de todas las distribuciones basadas en Linux fue descubierto por investigadores de Interzer Labs a principios de julio.
El virus backdoor implantado, y llamado EvilGnome, no es detectado por ninguno de los antivirus registrados en VirusTotal y viene con varias capacidades que son vistas raramente en los otros malwares.
“Las funcionalidades de EvilGnome incluyen tomar capturas de pantalla, robar archivos, permitir la grabación de audio desde el micrófono del usuario y hasta la habilidad de descargar y ejecutar otros módulos”, mencionan los investigadores.
EvilGnome es enviado como un archivo auto extraíble creado usando el script de shell makeself.sh, con todos los metadatos generados creados por el archivo en su cabecera, probablemente como un error de programación.
EvilGnome también envía un script de shell llamado gnome-shell-ext.sh a la lista de tareas de la maquina infectada para revisar que este siendo ejecutado todo el tiempo.
Este virus parece ser desarrollado por Gamaredon Group, un grupo ruso activo desde el 2013 según los investigadores de Palo Alto Networks.
Esto se ha descubierto porque el malware y el grupo utilizan el mismo hosting además de que EvilGnome usa servidores C2 conectados a dominios asociados con Gamaredon.
Si bien Gamaredon Group no es conocido por publicar malwares en Linux, los módulos y técnicas usadas por EvilGnome son similares a las usadas por el grupo ruso en ocasiones anteriores.
Los investigadores de Interzer ha publicado una lista de indicadores de incidentes (IOCs) en su análisis, incluyendo ejemplos de malware y direcciones IP que el Linux implanta con otras herramientas desarrolladas por Gamaredon.