EvilGnome z pękniętym paskiem od spodni

Wyobraźcie sobie, że jesteście w zatłoczonej galerii handlowej. I nagle pęka wam pasek u spodni, a one jak w kiepskich komediach opadają wam do połowy kolan. Zainteresowanie rozbawionej gawiedzi gwarantowane jak i chwila chwały medialnej. A teraz postawcie na swoim miejscu tytułowego EvilGnome. Bo nowe malware dla Linuksa gdyby miało twarz, to właśnie taką z przyklejonym doń zażenowaniem.

Bezpieczeństwo użytkownika nigdy nie było tak istotne, jak w czasach gdy za pomocą komputera lub smartfona organizujemy niemal całe nasze życie. Płacimy rachunki, załatwiamy sprawy urzędowe, prowadzimy alter-życie online a przez nasze urządzenia przetacza się plejada naszych danych i informacji poufnych o nas samych. Dlatego poważanie należy traktować każde doniesienie o nowym sposobie pozyskiwania tych danych bez naszej wiedzy. Tym razem mamy do czynienia z malware dla Linuksa.

Rzecz o tyle nietypowa, że jak wygląda „rynek” wirusów i malware dla Linuksa dobrze wiemy. Dlatego gdy prasowe nagłówki rozkrzyczały się o innowacyjnym zagrożeniu dybiącym na dane użytkowników Linuksa, to wielu osobom zaświeciło się alarmowe światełko nad głową.

EvilGnome jest rzeczywiście nową jakością. Udaje rozszerzenie środowiska graficznego GNOME. Dzięki temu kamuflażowi projekt może by i przeniknął do ściśle kontrolowanej dystrybucji oficjalnych rozszerzeń GNOME (pamiętajmy, to tylko przykrywka – kod malware uruchomi się na każdym Linuksie niezależnie od środowiska), lecz beztroska z jaką twórcy podeszli do sprawy onieśmiela.

Zacznijmy od tego, że EvilGnome jest rozprowadzane w postaci samozpakowującego się instalatora .run. Wykonano go za pomocą makeself. Niestety, autorzy pokpili sprawę i zapomnieli usunąć lub zmienić metadane które zaszyły się w tak utworzonym pliku .run. Dzięki nim dowiemy się kiedy plik został utworzony, jakie katalogi źródłowego do tego wykorzystano, itp.

Tak, dobrze przeczytaliście – malware jest rozprowadzane w postaci pliku .run. Zatem aby EvilGnome zamieszkał u nas na dysku, musi samodzielnie uruchomić spreparowany plik. Znając specyfikę makeself możemy też po prostu wypakować pliki z takiego archiwum, bez szkody dla systemu.

Teraz robi się poważniej. Pliki zawarte w .run faktycznie mogą stanowić źródło wielu problemów.

• gnome-shell-ext – główny kod malware,
• gnome-shell-ext.sh – skrypt sprawdzający, czy główny kod jest uruchomiony,
• rtp.dat – plik konfiguracyjny dla gnome-shell-ext,
• setup.sh – skrypt automatycznie uruchamiany po wykonaniu pliku .run i aktywujący powyższe.

Nic przyjemnego, prawda? Gdyby nastąpiło świadome uruchomienie pliku .run, to powyższa zawartość wyląduje w katalogu ~/.cache/gnome-software/gnome-shell-extensions/, skrypt setup.sh aktywuje „rozszerzenie” i całość zacznie żyć swoim życiem.

Binaria gnome-shell-ext zostały stworzone z niebywałą nonszalancją i nie zostały pozbawione danych umożliwiających debbugowanie. Stąd wiemy, jakie były zamiary twórcy, jak też plany na przyszłość. A nich zawiera się nienapisany i nieaktywowany keylogger. Podstawowe moduły gnome-shell-ext to ShooterSound zgrywający audio z naszego mikrofonu, ShooterImage przechwytujący ekran, ShooterFile skanujący system plików w poszukiwaniu nowych plików, ShooterPing upewniający się, że jest całość ma łączność ze zdalnym serwerem do przechowywania skradzionych danych. No i wspomniany ShooterKey – keylogger w fazie planowania. Wszystkie zgromadzone materiały są przesyłane na zdalne serwery powiązane z twórcami tego narzędzia.

Tutaj docieramy do pochodzenia całego malware. Przypuszczalnie za tym zamieszaniem stoi rosyjska grupa hackerska Gamaredon Group, znanej z droczenia się z osobami powiązanymi z rządem Ukrainy. Do dystrybucji malware używane są firmy hostingowe z terenu Rosji.

Jak się chronić przed powyższym? Listować co znajduje się w plikach .run które zamierzamy uruchamiać. Sprawdzić zawartość katalogu ~/.cache/gnome-software/gnome-shell-extensions w poszukiwaniu programu gnome-shell-ext.

Z dużej chmury mały deszcz. Tak można skwitować powyższe. Wygląda to tak, jakby malware wyciekło w świat zbyt wcześnie i w wersji mocno niedorobionej. Sami autorzy zapewne poczuli się, jakby ktoś nakrył ich przy dłubaniu w nosie – choć nie można wykluczyć, że jakość EvilGnome to efekt ich zadufania. Innymi słowy, aby EvilGnome zgromadziło materiał o naszych życiu, musimy się nieco do tego przyłożyć – pobrać malware, uruchomić je. A następnie udając błogą nieświadomość zapełniać serwery złodziei danych.