Експерти з кібербезпеки виявили рідкісне шпигунське ПЗ, спрямоване на компрометацію даних користувачів Linux.

За словами дослідників з Intezer Labs, шпигунське ПЗ, яке отримало назву EvilGnome  містить рідкісні для Linux-шкідників функціональні можливості. Зараз не вдається його виявити за допомогою основних антивірусних програм.

У порівнянні з кількістю націлених на Windows шкідників Linux не може похвалитися такою “популярністю”. Існує дуже мало шкідливих програм для Linux, більшість з яких навіть не мають широкого спектра функціональних можливостей. Найчастіше вони сфокусовані на криптомайнінгу.

Проте, дослідники з Intezer Labs недавно виявили новий вбудований бекдор для Linux, який, найімовірніше, в цей час знаходиться на стадії розробки і тестування, проте вже містить кілька шкідливих модулів для стеження за користувачами настільних комп’ютерів на базі Linux.

EvilGnome здатний робити скніншоти, викрадати файли, записувати звук із мікрофона, а також завантажувати і запускати додаткові шкідливі модулі.

Шкідливе ПЗ EvilGnome маскується під офіційне розширення GNOME, що дозволяє користувачам Linux розширювати функціональні можливості робочого столу. EvilGnome поширюється у вигляді саморозпаковуваного заархівованого шел-скрипта, створеного за допомогою “makeself” – невеликого шел-скрипта, що генерує саморозпаковуваний стислий .tar-архів із папки.

EvilGnome містить п’ять шкідливих модулів під загальною назвою Shooters. Зокрема модуль ShooterSound використовує PulseAudio для запису звуку мікрофона. Модуль ShooterImage використовує бібліотеку Cairo з відкритим вихідним кодом для створення скріншотів. Модуль ShooterFile використовує список фільтрів для сканування файлової системи на предмет новостворених файлів. Модуль ShooterPing отримує нові команди з C&C-сервера зловмисника, такі як завантаження і виконання нових файлів, встановлення нових фільтрів тощо. Модуль ShooterKey може використовуватися для кейлогінга, але поки він не задіяний. Найімовірніше, модуль знаходиться на стадії розробки.

Дослідники також виявили зв’язок між EvilGnome і хакерської угрупованням Gamaredon Group, які  пов’язані з РФ. Група активна з 2013 року і відома атаками на пов’язаних з урядом України осіб.

Оскільки антивірусні програми і системи безпеки поки не можуть виявити шкідливе ПЗ EvilGnome, дослідники рекомендують користувачам комп’ютерів на базі Linux заблокувати IP-адреси серверів, які перераховані в блозі Intezer Labs.

До речі, в плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.

Також фахівці Check Point виявили новий вид шкідливого ПЗ для Android, який встиг заразити більше 25 млн пристроїв.

Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.

Окрім цього, дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.