Nội dung
Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra một phần mềm gián điệp Linux mới mang tên EvilGnome, thuộc nhóm ít ỏi các mã độc hiện vẫn chưa bị nhận dạng bởi bất kỳ sản phẩm phần mềm bảo mật chống vi-rút nào. Bộ cấy backdoor này còn bao gồm một số tính năng cực kỳ hiếm thấy trong hầu hết các malware nhắm mục tiêu vào hệ thống Linux.
Có một thực tế được công nhận là so với các vi-rút Windows thì số lượng malware nhắm mục tiêu vào Linux ít hơn hẳn. Điều này xuất phát từ kết cấu cốt lõi của Linux, cũng như lượng thị phần ít hơn hẳn so với Windows.
Thậm chí, ngay cả khi các lỗ hổng nghiêm trọng bị tiết lộ trong các phần mềm và hệ điều hành Linux khác nhau, thì các hacker cũng chẳng thể nào khai thác tối đa lợi thế để thực hiện được các cuộc tấn công.
Thay vào đó, các hacker sẽ tập trung phân tán các malware nhằm thực hiện các cuộc tấn công khai thác tiền điện tử trên máy tính Linux để kiếm lợi nhuận và tạo ra các botnet DDoS bằng cách chiếm quyền điều khiển các máy chủ tồn tại lỗ hổng.
Tuy nhiên, gần đây các nhà nghiên cứu tại công ty bảo mật Intezer Labs đã phát hiện ra một bộ cấy backdoor Linux mới, có vẻ như đang trong giai đoạn phát triển và thử nghiệm nhưng đã bao gồm một số mô-đun độc hại có thể theo dõi người dùng máy tính để bàn Linux.
EvilGnome: Phần mềm gián điệp Linux mới
Được đặt tên là EvilGnome, phần mềm độc hại này được thiết kếđể chụp ảnh màn hình máy tính để bàn, đánh cắp các tập tin, ghi lại âm thanh từmicrô của người dùng cũng như tải xuống và thực hiện các mô-đun độc hại giai đoạnhai (second-stage malicious modules).
Theo một báo cáo mới, Intezer Labs cho biết trước khi chính thức phát hành, mẫu EvilGnome được phát hiện trên VirusTotal vẫn chứa chức năng keylogger chưa hoàn thành. Điều này chứng tỏ phần mềm đã bị nhà phát triển tải nhầm lên hệ thống.
Phần mềm độc hại EvilGnome giả mạo được thiết kế giống như phầnmở rộng hợp pháp của GNOME – một chương trình cho phép người dùng Linux mở rộngchức năng của thiết bị máy tính để bàn.
Theo các nhà nghiên cứu, bộ cấy được phân phối dưới dạng mộttập lệnh shell lưu trữ tự giải nén được tạo bằng ‘makeelf’ – một tập lệnh shellnhỏ tạo ra một kho lưu trữ tar tự giải nén từ một thư mục.
Ngoài ra, EvilGnome cũng sẽ thêm một tập lệnh shellgnome-shell-ext.sh vào crontab của máy tính Linux bị lây nhiễm, tập lệnh đượcthiết kế để kiểm tra xem các tác nhân phần mềm gián điệp có đang chạy hay không(kiểm tra theo từng phút).
Tập lệnh gnome-shell-ext.sh sẽ được thực thi trong giai đoạncuối của quy trình lây nhiễm, tạo điều kiện cho việc khởi chạy các tác nhân phầnmềm gián điệp gnome-shell-ext.
Các mô-đun phần mềm gián điệp của EvilGnome
Spy Agent của EvilGnome chứa năm mô-đun độc hại gọi là“Shooters”, như được giải thích dưới đây:
- ShooterSound – mô-đun này sử dụng PulseAudio để thu âm thanh từ micrô của người dùng và tải dữ liệu lên máy chủ command-and-control của nhà điều hành.
- ShooterImage – mô-đun này sử dụng thư viện nguồn mở Cairo để chụp ảnh màn hình và tải chúng lên máy chủ C