Blog

Antivirus dasturlari hali EvilGnome-ni aniqlamaydi.

Kiberxavfsizlik bo’yicha mutaxassislar Linux foydalanuvchilari ma’lumotlarini buzishga qaratilgan noyob josuslik dasturini topdilar. Zararli dastur hozirda asosiy antivirus dasturlari tomonidan aniqlanmaydi. Intezer Labs tadqiqotchilarining fikricha, EvilGnome deb nomlangan josuslik dasturi Linux zararli dasturlari uchun kam uchraydigan funksiyalarni o‘z ichiga oladi. Windows-ga mo’ljallangan zararli dasturlarning miqdori bilan taqqoslaganda, Linux bunday «mashhurlikka» ega emas. Linux uchun zararli dasturlar juda kam, ularning aksariyati hatto keng imkoniyatlarga ega emas. Linux ekotizimiga qaratilgan zararli dasturlar ko’pincha zaif serverlarni egallab, kriptominatsiya va DDoS botnetlarini yaratishga qaratilgan.

Biroq, Intezer Labs tadqiqotchilari yaqinda Linux uchun yangi o’rnatilgan orqa eshikni topdilar, u hozirda ishlab chiqish va sinov bosqichida, lekin allaqachon Linux ish stoli foydalanuvchilariga josuslik qilish uchun bir nechta zararli modullarni o’z ichiga oladi.

EvilGnome zararli dasturi skrinshotlar olish, fayllarni o’g’irlash, mikrofondan ovoz yozish va qo’shimcha zararli modullarni yuklab olish va ishga tushirishga qodir.

EvilGnome zararli dasturi o’zini rasmiy GNOME kengaytmasi sifatida yashiradi, bu Linux foydalanuvchilariga ish stoli funksiyalarini kengaytirish imkonini beradi. EvilGnome papkadan o’z-o’zidan ochiladigan, siqilgan .tar arxivini yaratuvchi kichik qobiq skripti «makeself» yordamida yaratilgan o’z-o’zidan ochiladigan, ziplangan qobiq skripti sifatida tarqatiladi.

EvilGnome-da Shooters umumiy nomi ostida beshta zararli modul mavjud. Xususan, ShooterSound moduli mikrofon tovushini yozish uchun PulseAudio-dan foydalanadi. ShooterImage moduli ekran tasvirlarini yaratish uchun ochiq manbali Qohira kutubxonasidan foydalanadi. ShooterFile moduli yangi yaratilgan fayllar uchun fayl tizimini skanerlash uchun filtrlar ro’yxatidan foydalanadi. ShooterPing moduli tajovuzkorning C&C serveridan yangi fayllarni yuklab olish va ishga tushirish, yangi filtrlarni o‘rnatish va hokazo kabi yangi buyruqlarni oladi. ShooterKey moduli kalitlarni yozish uchun ishlatilishi mumkin, lekin u hali ishlatilmagan. Ehtimol, modul ishlab chiqilmoqda.

Tadqiqotchilar, shuningdek, EvilGnome va Rossiya bilan bog‘liq deb hisoblangan Gamaredon Group xakerlar guruhi o‘rtasidagi aloqani aniqladilar. Guruh 2013-yildan beri faoliyat yuritib keladi va Ukraina hukumati bilan aloqador shaxslarga hujumlar uyushtirgani bilan tanilgan.

Antivirus va xavfsizlik dasturlari hali EvilGnome zararli dasturini aniqlay olmaganligi sababli, tadqiqotchilar Linux-ga asoslangan kompyuterlar foydalanuvchilariga Intezer Labs blogining IOC bo’limida ko’rsatilgan C&C IP manzillarini bloklashni tavsiya qiladi.