Các nhà nghiên cứu bảo mật của Intezer Labs đã phát hiện ra một phần mềm độc hại Linux mới, có khả năng ngụy trang dưới dạng một tiện ích mở rộng của Gnome shell, và được thiết kế để theo dõi những người đang sử dụng máy tính để bàn Linux, khiến họ không thể nhận ra sự xuất hiện của nó.

Lỗ hổng bảo mật nghiêm trọng đe dọa người dùng Macbook

Bộ cấy backdoor này được đặt tên là EvilGnome, đáng chú ý là hiện tại nó vẫn chưa bị nhận dạng bởi bất kỳ công cụ chống phần mềm độc hại nào trên VirusTotal [1, 2, 3]. Nguy hiểm hơn, nó còn được đi kèm với một số khả năng độc hại cực kỳ hiếm gặp trong các chủng phần mềm độc hại nhắm mục tiêu đến hệ thống Linux.

“Các tính năng độc hại đi kèm với EvilGnome, bao gồm chụp ảnh màn hình desktop, đánh cắp dữ liệu (tập tin), tự động ghi lại âm thanh thu được qua micro của người dùng, và khả năng download cũng như thực thi các mô-đun độc hại mới trong tương lai. Nguy hiểm hơn, bộ cấy backdoor này còn sở hữu một chức năng keylogger đang trong quá trình phát triển. Sau khi hoàn tất, nó có thể ghi lại các bình luận, mật khẩu và siêu dữ liệu biên dịch, vốn thường không xuất hiện trong các phiên bản malware Linux đã từng được ghi nhận”, nhóm nghiên cứu của Intezer Labs cho biết.

Lây nhiễm thông qua tài liệu lưu trữ tự giải nén

EvilGnome được phân phối với sự trợ giúp của kho lưu trữ tự giải nén tạo bằng tập lệnh shell makeelf, trong đó tất cả các siêu dữ liệu hình thành trong quá trình tạo kho lưu trữ payload độc hại được “gói kỹ” trong các tiêu đề của nó.

Quy trình lây nhiễm mã độc được tự động hóa với sự trợ giúp của một đối số chạy tự động, còn sót lại trong các tiêu đề của payload tự thực thi. Đối số này có nhiệm vụ hướng dẫn phần mềm độc hại tự khởi chạy tệp có tên setup.sh, qua đó bổ sung thêm tác nhân gián điệp của phần mềm độc hại vào địa chỉ ~/.cache/gnome-software/gnome-shell-extensions/ folder, sau đó cố gắng lẻn vào hệ thống của nạn nhân và ngụy trang dưới dạng một tiện ích mở rộng của Gnome shell.

EvilGnome cũng sẽ thêm một tập lệnh shell gnome-shell-ext.sh vào crontab của máy tính Linux bị lây nhiễm, tập lệnh được thiết kế để kiểm tra xem các tác nhân phần mềm gián điệp có đang chạy hay không (kiểm tra theo từng phút).

Tập lệnh gnome-shell-ext.sh sẽ được thực thi trong giai đoạn cuối của quy trình lây nhiễm, tạo điều kiện cho việc khởi chạy các tác nhân phần mềm gián điệp gnome-shell-ext.

Cấu hình của EvilGnome, lưu trữ trong tệp rtp.dat, cũng sẽ được bao hàm trong kho lưu trữ tự giải nén, và nó cho phép backdoor lấy được địa chỉ IP của máy chủ chỉ huy và điều khiển (C2).

Các mô-đun đa backdoor cùng những tính năng gián điệp

Trong khi phân tích bộ cấy backdoor của EvilGnome, các nhà nghiên cứu Intezer Labs đã tìm thấy những mô-đun sau:

+ ShooterAudio – thu âm thanh từ micrô người dùng và tải lên C2
+ ShooterImage – chụp ảnh màn hình máy tính và tải lên C2
+ ShooterFile – quét hệ thống tệp (file system) đối với các tệp mới được tạo và tải chúng lên C2
+ ShooterPing – nhận lệnh mới từ C2, lọc dữ liệu, đồng thời có thể download và thực thi các payload độc hại mới
+ ShooterKey – đang trong quá trình phát triển và chưa được sử dụng, nhiều khả năng sẽ là một mô-đun keylog. Sau khi hoàn tất, nó có thể ghi lại các bình luận, mật khẩu và siêu dữ liệu biên dịch trên hệ thống
Toàn bộ lưu lượng được gửi đến và đi từ các máy chủ C2 của phần mềm độc hại sẽ được EvilGnome mã hóa và giải mã thông qua mật mã khối đối xứng RC5, bằng cách sử dụng cùng một key giải mã với sự trợ giúp từ một biến thể của thư viện nguồn mở RC5Simple.

EvilGnome dường như cũng được kết nối với một nhóm hacker chuyên phát tán phần mềm độc hại đến từ Nga có tên Gamaredon Group. Theo báo cáo của nhóm các chuyên gia tình báo bảo mật đến từ đội ngũ Unit 42 (thuộc công ty bảo mật Palo Alto Networks), Russian Gamaredon Group đã hoạt động ít nhất kể từ năm 2013 và là cái tên đứng sau không ít chiến dịch tấn công sử dụng kỹ thuật cao (ATP) kéo dài dai dẳng và để lại nhiều thiệt hại nghiêm trọng.

Cả EvilGnome và Gamaredon Group đều sử dụng cổng 3436 để kết nối với máy chủ C2 của chúng thông qua SSH, với “2 máy chủ bổ sung sở hữu tên miền tương tự như cách thức đặt tên miền của Gamaredon (sử dụng .space TTLD và ddns)”, đã được các nhóm nghiên cứu bảo mật Intezer Labs tìm thấy trong hạ tầng nhà cung cấp máy chủ C2 của EvilGnome.

Cuối cùng, đội ngũ bảo mật của Intezer Labs đã phát hành một danh sách các dấu vết tấn công trên hệ thống (IOC) sau khi kết thúc quá trình phân tích hành vi của EvilGnome, bao gồm các hàm băm mẫu của phần mềm độc hại, cung như địa chỉ IP/miền mà nó chia sẻ với các công cụ khác được phát triển bởi Gamaredon Group.

Sự nguy hiểm của ứng dụng FaceApp đối với người dùng mạng xã hội

Nguồn: THN