İçeriğe geçmek için "Enter"a basın

Linux Kullanıcılarını Hedef Alan Yeni Zararlı Yazılım: EvilGnome

Intezer Labs güvenlik araştırmacıları Temmuz ayının başlarında Gnome kabuğu (shell) eklentisi arkasına gizlenen yeni bir zararlı yazılım keşfetti.

EvilGnome olarak adlandırılan bu yeni zararlı yazılım bazı nadir görülen yeteneklere sahip ve popüler antivirüs yazılımlarının hiçbiri zararlı yazılımı tespit edemedi.

evilgnome zararlı yazılımı

Bu zararlı yazılımın bulaştığı sistemin masaüstünden ekran görüntüsü almak, dosya çalmak, mikrofondan ortam dinlemesi yapmak ve modül indirerek kapasitelerini arttırmak gibi özellikleri bulunuyor.

Gnome kabuk eklentisi nedir?

GNOME kabuk eklentisi, GNOME kabuğunu kullanan Linux dağıtımlarında sisteminizde özelleştirmeler yapmanıza yardımcı olur.

EvilGnome Hangi Yolla Bulaşıyor?

Zararlı yazılım kendinden açılabilen arşiv (tar) dosyaları oluşturmaya yarayan makeself aracı ile oluşturulan sıkıştırılmış dosyalar yardımıyla kurbanlarına ulaştırılıyor.

Arşiv dosyası açılmaya çalışıldığında zararlı yazılım sistemde aktivitelerine başlıyor ve bir bash scripti aracılığıyla ~/.cache/gnome-software/gnome-shell-extensions/ dizinine Gnome kabuk eklentisi gibi kamufle edilmiş asıl zararlı yazılımı yerleştiriyor.

Ayrıca zararlı yazılım sistemde varlığını koruduğunu kontrol etmek için crontab’ı (zamanlanmış görevleri) kullanıyor.

Kendinden açılabilen arşiv dosyası nedir?

Bu tür arşiv dosyaları herhangi bir arşiv uygulamasına ihtiyaç duyulmadan üzerine çift tıkladığınızda açılır ve dosyalar arasında çalıştırılabilir olanları otomatik olarak sisteminizde çalıştırabilir.

Crontab zamanlanmış görevler ne işe yarar?

Kullanıcıların istediği işlemleri belirlediği zamanlarda, tarihlerde veya belirli aralıklarla düzenli olarak çalışmasını sağlar. Bu özellik çoğunlukla saldırganlar tarafından kötüye kullanılır.

Casusluk kapasitelerine sahip arka kapı modülleri

Araştırmacılar zararlı yazılım üzerinde aşağıdaki modüllere ulaştı. Tespit edilen modülleri ve başlıca özelliklerini aşağıda görebilirsiniz:

• ShooterAudio – kullanıcının mikrofonundan ortam dinlemesi yap
• ShooterImage – ekran görüntüsü al
• ShooterFile – yeni oluşturulan dosyaları tespit etmek için tüm dosya sistemini tara
• ShooterPing – komuta kontrol sunucusundan yeni emirler al (yeni modüller yükleme gibi)
• ShooterKey – tuş vuruşlarını kaydet (henüz tamamlanmamış)

Zararlı yazılım tarafından toplanan tüm bu bilgiler RC5 şifreleme algoritması kullanılarak şifreleniyor ve komuta kontrol sunucusuna gönderiliyor. Komuta kontrol sunucusuyla iletişim kurulamaması halinde ise toplanan dosyalar ~/.cache/gnome-software/gnome-shell-extensions/ dizinindeki tmp adında geçici bir dizinde saklanıyor.

EvilGnome’un Rus Gamaredon Grubu İle Bağlantısı Olabilir

PaloAlto Networks’un araştırmacılarına göre, bu yeni zararlı yazılımın 2013 yılından beri aktivitelerini sürdüren APT grubu Gamaredon ile bağlantısı olabilir.

Araştırmacılar bu ihtimalleri EvilGnome’un kullandığı komuta kontrol sunucularının servis sağlaycısının Gamaredon grubunun kullandığı sunucuların servis sağlayıcısıyla aynı olmasına ve karşılaştıkları birçok benzerliğe dayandırıyor.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir