بدافزار جاسوسی EvilGnome

محققان یک تروجان جدید لینوکس به نام "EvilGnome" باقابلیت‌هایی که قبلاً قابل‌مشاهده نبوده است کشف کردند که قادر به ایجاد یک در پشتی و جاسوسی از کاربران دسکتاپ لینوکس هستند.

بر اساس شواهد و شباهت‌های عملیاتی، این بدافزار احتمالاً توسط گروه Gamareon، یک گروه تهدید روسیه‌ای که از سال ۲۰۱۳ فعال بوده است، توزیع‌شده است.

Gamareon Group با استفاده از انواع مختلف ضمیمه‌های مخرب، تکنیک‌های فیشینگ و استفاده از ابزارهای سرقت اطلاعات به قربانیان حمله می‌کند. این نرم‌افزار مخرب از گسترش Gnome خودداری می‌کند، به‌طوری‌که محققان نام EvilGnome را برای آن در نظر گرفته‌اند که توسط تمامی نرم‌افزارهای امنیتی شناسایی‌شده است.

ازآنجاکه حدود  ۷۰ درصد از سهم بازار وب سرور در ایران و دیگر کشورها با سیستم‌عامل‌های مبتنی بر لینوکس اشغال‌شده است، بدافزارهای لینوکسی توسط  ابزارهای باج افزار و بات نت‌های منجر به حملات  DDoS در جهت آسیب‌پذیری‌های سرورهای هدف مورداستفاده قرار می‌گیرند .

نحوه توزیع :

EvilGnome از تکنیک‌ها و ماژول‌های SFX، ابزارهای سرقت اطلاعات استفاده می‌کند. محققان دریافتند که هکرهایی که پشت EvilGnome هستند از یک ارائه‌دهنده‌ی میزبانی وب که توسط گروه Gamerateon برای یک سال استفاده می‌شده، استفاده کرده‌اند.

تحقیقات بیشتر در مورد سرور کنترل و فرماندهی نشان می‌دهد که از سرویس SSH روی پورت ۳۴۳۶ استفاده کرده است.

نحوه عملکرد  :

در ابتدا، EvilGnome یک فایل آرشیو از Shell Script خود را می‌سازد که دارای چهار فایل است :
۱.    gnome-shell-ext – the spy agent executable
۲.    gnome-shell-ext.sh – checks if gnome-shell-ext is already running and if not, executes it
۳.    rtp.dat– configuration file for gnome-shell-ext
۴.    setup.sh – the setup script that is run by makeself after unpacking
۱.    gnome-shell-ext :‎ فایل اجرایی عامل جاسوسی
۲.    gnome-shell-ext.sh :‎ چک می‌کند که آیا gnome-shell-ext در حال اجرا است و اگرنه، آن را اجرا می‌کند.
۳.    rtp.dat :‎ فایل پیکربندی برای gnome-shell-ext
۴.    setup.sh :‎ اسکریپت نصب بدافزار که پس از باز کردن فایل آرشیو خود را اجرا می کند

محققان در تجزیه‌وتحلیل عامل جاسوسی متوجه شدند که این کد هرگز توسط سیستم مشاهده نشده و در C++  ساخته‌شده است.
محققان Intezer با بررسی عمیق‌تر عامل جاسوسی کشف کردند که این بدافزار از پنج ماژول جدید به نام " Shooters" استفاده می‌کند که می‌توانند فعالیت‌های مختلف را با دستورات مربوطه انجام دهند:
ShooterSound :‎ ضبط صدا از میکروفون کاربر و ارسال آن به سرور کنترل و فرماندهی
ShooterImage :‎ ضبط تصاویر و آپلود به سرور کنترل و فرماندهی
ShooterFile :‎ سیستم فایل را برای فایل‌های تازه ایجادشده اسکن می‌کند و آن‌ها را به سرور کنترل و فرماندهی ارسال می‌کند
ShooterPing :‎ دستورات جدیدی را از سرور کنترل و فرماندهی دریافت می‌کند
ShooterKey :‎ به‌احتمال‌زیاد یک ماژول برای ثبت کلیدهای فشرده‌شده کاربر است

تحلیل نهایی  :
ازآنجاکه حدود  ۷۰ درصد از سهم بازار وب سرور در ایران و دیگر کشورها با سیستم‌عامل‌های مبتنی بر لینوکس اشغال‌شده است و همان‌طور که توضیح داده شد، با یک کلیک ساده، روی ضمیمه موجود در ایمیل‌های جعلی، یا حتی کلیک روی لینک‌های مخرب در صفحات وب، یا حملات فیشینگ به‌راحتی به سیستم کاربران نفوذ خواهند کرد .

بنابراین توصیه می‌شود کاربران دقت بیشتری روی ضمیمه‌های ایمیل‌های ناشناس داشته باشند و از به‌روزترین آنتی‌ویروس‌ها و سیستم‌عامل‌ها استفاده کنند .

همچنین با توجه به اینکه این بدافزار از سرویس SSH برای ارتباط با سرور فرماندهی و کنترل استفاده می‌کند بهتر است این سرویس مسدود شود. همچنین آخرین وصله‌های امنیتی سیستم‌عامل‌های لینوکسی را دریافت و اعمال کنند.

به کاربران پیشنهاد می‌گردد که برای کاهش خطرات مرتبط با این بدافزار، این توصیه‌ها را در نظر بگیرند:

•    ﻧﺼﺐ ﻳک برنامه‌ی ﺿﺪوﻳﺮوس ﻛﻪ ﭘﻴﻮﺳﺘﻪ ﺳﻴﺴﺘﻢ شمارا زﻳﺮ ﻧﻈﺮ داﺷﺘﻪ ﺑﺎﺷﺪ و آن را به‌طور ﻣﺮﺗﺐ Update ﻛﺮد.
•    تهیه‌ی نسخه‌های پشتیبان در ﻓﻮاﺻﻞ زﻣﺎنی ﻣﻨﻈﻢ.
•    ﻋﺪم ارﺗﺒﺎط ﺑﺎ ﺳﺎﻳﺖﻫﺎ و شبکه‌های ﻣﺸﻜﻮک
•    ﺑﺎزﻧﻜﺮدنﻧﺎﻣﻪﻫﺎی اﻟﻜﺘﺮوﻧﻴﻜﻲ ﻛﻪ ﻣﻮﺿﻮع و فرستنده‌ی آن‌ها ناشناس هستند.
•    Download   نکردن فایل‌هایی ﻛﻪ از ﻣﻮﺿﻮع آن‌ها بی‌خبر    ﻫﺴﺘﻴﺪ.
•    تاﻳﻴﺪﻧﻜﺮدنﺗﻘﺎﺿﺎﻫﺎیﻣﺸﻜﻮک اﻳﻨﺘﺮﻧﺘﻲ
•    بستن پورت‌های بلااستفاده روی سیستم

► مشتریان بانک‌ها هدف اصلی بدافزار جدیدWSH RAT
امنیت بانکداری، یک نیاز دو طرفه ◄