{"id":1490,"date":"2019-07-28T14:40:08","date_gmt":"2019-07-28T14:40:08","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1490"},"modified":"2019-07-28T14:57:27","modified_gmt":"2019-07-28T14:57:27","slug":"evilgnome-un-nuevo-backdoor-para-usuarios-de-escritorio-linux","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1490","title":{"rendered":"EvilGnome: un nuevo backdoor para usuarios de escritorio Linux."},"content":{"rendered":"<p class=\"rtejustify\" style=\"text-align: justify\">\n\t<a href=\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/evilgnome.jpg\" rel=\"\" target=\"\" title=\"\"><img decoding=\"async\" alt=\"\" class=\"size-medium wp-image-1491 alignleft\" height=\"\" src=\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/evilgnome-300x156.jpg\" style=\"width: 300px;height: 156px;margin-left: 5px;margin-right: 5px\" title=\"\" width=\"\" srcset=\"https:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/evilgnome-300x156.jpg 300w, https:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/evilgnome-768x398.jpg 768w, https:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/evilgnome.jpg 906w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a>Es un hecho conocido que&nbsp;<strong>existen muy pocas cepas de malware de Linux&nbsp;<\/strong>en la naturaleza en comparaci&oacute;n con los virus de Windows&nbsp;<strong>debido a su arquitectura central y tambi&eacute;n a su baja participaci&oacute;n en el mercado<\/strong>, y muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.\n<\/p>\n<p><!--more--><\/p>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\tEn los &uacute;ltimos a&ntilde;os, incluso despu&eacute;s de la revelaci&oacute;n de graves vulnerabilidades cr&iacute;ticas en varios tipos de sistemas operativos y software Linux, los ciberdelincuentes no lograron aprovechar la mayor&iacute;a de ellos en sus ataques. Sin embargo, los investigadores de la firma de seguridad&nbsp;<em><a href=\"https:\/\/www.intezer.com\/\">Intezer Labs<\/a><\/em><a href=\"https:\/\/www.intezer.com\/\">&nbsp;<\/a><strong>descubrieron recientemente un nuevo implante de backdoor de Linux que parece estar en fase de desarrollo<\/strong>, pero ya incluye varios m&oacute;dulos maliciosos para espiar a los usuarios de este escritorio.\n<\/p>\n<h4 class=\"rtejustify\" style=\"text-align: justify\">\n\tFuncionamiento de EvilGnome:<br \/>\n<\/h4>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\t<strong>El malware en cuesti&oacute;n ha sido dise&ntilde;ado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micr&oacute;fono del usuario, as&iacute; como descargar y ejecutar m&aacute;s m&oacute;dulos maliciosos.<\/strong>\n<\/p>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\tSegun informan los propios investigadores de&nbsp;<em>Intezer Labs<\/em>, la muestra de EvilGnome que se descubri&oacute; en VirusTotal tambi&eacute;n contiene una&nbsp;<strong>funcionalidad de keylogger&nbsp;<\/strong>inacabada, lo que indica que su desarrollador lo carg&oacute; en l&iacute;nea por error.\n<\/p>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\t<strong>El malware se disfraza como una extensi&oacute;n leg&iacute;tima de GNOME<\/strong>, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus escritorios.\n<\/p>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\t<a href=\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/linux-malware.jpg\" rel=\"\" target=\"\" title=\"\"><img decoding=\"async\" alt=\"\" class=\"aligncenter size-full wp-image-1496\" height=\"\" src=\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/linux-malware.jpg\" title=\"\" width=\"\" srcset=\"https:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/linux-malware.jpg 728w, https:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2019\/07\/linux-malware-300x81.jpg 300w\" sizes=\"(max-width: 728px) 100vw, 728px\" \/><\/a>\n<\/p>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\tEl implante de Linux tambi&eacute;n gana persistencia en un sistema espec&iacute;fico utilizando crontab, similar al programador de tareas de Windows, y env&iacute;a datos de usuario robados a un servidor remoto controlado por un atacante.\n<\/p>\n<h4 class=\"rtejustify\" style=\"text-align: justify\">\n\tM&oacute;dulos utilizados:<br \/>\n<\/h4>\n<ul>\n<li class=\"rtejustify\" style=\"text-align: justify\">\n\t\t<strong>ShooterSound<\/strong>&nbsp;: este m&oacute;dulo utiliza PulseAudio para capturar el audio del micr&oacute;fono del usuario y carga los datos en el servidor de C&amp;C del operador.\n\t<\/li>\n<li class=\"rtejustify\" style=\"text-align: justify\">\n\t\t<strong>ShooterImage<\/strong>&nbsp;: este m&oacute;dulo utiliza la biblioteca de c&oacute;digo abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C&amp;C.&nbsp;Lo hace abriendo una conexi&oacute;n con el servidor de visualizaci&oacute;n XOrg, que es el backend del escritorio de Gnome.\n\t<\/li>\n<li class=\"rtejustify\" style=\"text-align: justify\">\n\t\t<strong>ShooterFile<\/strong>&nbsp;: este m&oacute;dulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos reci&eacute;n creados y los carga en el servidor de C&amp;C.\n\t<\/li>\n<li class=\"rtejustify\" style=\"text-align: justify\">\n\t\t<strong>ShooterPing<\/strong>&nbsp;: el m&oacute;dulo recibe nuevos comandos del servidor de C&amp;C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuraci&oacute;n de tiempo de ejecuci&oacute;n, exfiltrar la salida almacenada al servidor de C&amp;C y detener la ejecuci&oacute;n de cualquier m&oacute;dulo de disparo.\n\t<\/li>\n<li class=\"rtejustify\" style=\"text-align: justify\">\n\t\t<strong>ShooterKey<\/strong>&nbsp;: este m&oacute;dulo no est&aacute; implementado ni se usa, lo que probablemente es un m&oacute;dulo de registro de teclas sin terminar.\n\t<\/li>\n<\/ul>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\t<strong>En particular, todos los m&oacute;dulos anteriores cifran sus datos de salida y descifran los comandos recibidos del servidor&nbsp;<\/strong>C&amp;C con la clave RC5 &laquo;sdg62_AS.sa $ die3&raquo;, utilizando una versi&oacute;n modificada de una biblioteca de c&oacute;digo abierto rusa.\n<\/p>\n<h4 class=\"rtejustify\" style=\"text-align: justify\">\n\t&iquest;C&oacute;mo detectar si est&aacute;s infectado por EvilGnome?<br \/>\n<\/h4>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\tPara verificar si su sistema Linux est&aacute; infectado con el software esp&iacute;a EvilGnome, puede buscar el ejecutable &laquo;gnome-shell-ext&raquo; en el directorio &laquo;<em>~\/.cache\/gnome-software\/gnome-shell-extensions<\/em>&laquo;.\n<\/p>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\tDado que los productos de seguridad y antivirus actualmente no detectan el malware EvilGnome, los investigadores recomiendan a los administradores de Linux preocupados que bloqueen las direcciones IP de Comando y Control enumeradas en la secci&oacute;n IOC de la&nbsp;publicaci&oacute;n del blog de&nbsp;<em>Intezer<\/em>.\n<\/p>\n<p class=\"rtejustify\" style=\"text-align: justify\">\n\t<strong>M&aacute;s informaci&oacute;n:<\/strong>\n<\/p>\n<p style=\"text-align: justify\">\n\tEvilGnome: Rare Malware Spying on Linux Desktop Users<\/p>\n<h3>Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"<p>Es un hecho conocido que&nbsp;existen muy pocas cepas de malware de Linux&nbsp;en la naturaleza en comparaci&oacute;n con los virus de Windows&nbsp;debido a su arquitectura central y tambi&eacute;n a su baja participaci&oacute;n en el mercado, y muchos de ellos ni siquiera &hellip; <a href=\"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1490\">Sigue leyendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,6,15,45,40],"tags":[],"class_list":["post-1490","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-codigos-malignos","category-informaciones","category-linux","category-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1490","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1490"}],"version-history":[{"count":5,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1490\/revisions"}],"predecessor-version":[{"id":1498,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1490\/revisions\/1498"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1490"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1490"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1490"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}