พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

โดยจากหลักฐานชี้ว่ามัลแวร์น่าจะอยู่ในเวอร์ชันพัฒนาเพราะยังทิ้งคอมเม้นต์ประกอบไว้มากมายจึงคาดว่าตัวที่พบบน VirusTotal นั้นอาจถูกอัปโหลดขึ้นมาโดยไม่ได้ตั้งใจ ทั้งนี้เริ่มแรกมัลแวร์จะมาในรูปแบบของ Self-extracting Archive ที่ถูกสร้างด้วย makeself ซึ่งการติดมัลแวร์สามารถเกิดขึ้นได้อย่างอัตโนมัติจาก Argument ใน Payload ที่จะไปออกคำสั่งให้รัน setup.sh ซึ่งนำไปสู่การติดตั้งมัลแวร์ไว้ที่ Path ‘ ~/.cache/gnome-software/gnome-shell-extensions/’ นั่นเอง ดังนั้นจะเห็นได้ว่ามัลแวร์ปฏิบัติตัวเหมือนเป็น Gnome Extension นั่นเอง

ขั้นตอนถัดมามัลแวร์จะรันสคิร์ปต์ที่ชื่อ gnome-shell-ext.sh เพื่อเข้าแทรกซึม Crontab ให้เช็คทุกนาทีว่า Spyware Agent ยังรันอยู่หรือไม่ จากนั้นจะมีการเรียก Agent ตัวหลักที่ชื่อ gnome-shell-ext ที่ถูกพัฒนาขึ้นด้วย C++ สไตล์ Object Oriented ด้วย ซึ่งภายใน Agent จะประกอบด้วย 5 โมดูลที่มีความสามารถต่างๆ คือ แสกนระบบเพื่อหาไฟล์ใหม่ ดักจับเสียงของไมโครโฟน บันทึกภาพหน้าจอ รับคำสั่งจากเซิร์ฟเวอร์ควบคุม และดักจับการกดคีย์บอร์ด(ยังไม่สมบูรณ์) นอกจากนี้แต่ละโมดูลจะมีการรัน Thread แยกกันและป้องกัน Race condition ด้วย Mutex ยังไม่เพียงเท่านั้นยังมีการใช้การเข้ารหัสและถอดรหัสระหว่างสื่อสารกับเซิร์ฟเวอร์ควบคุมด้วย RC5 โดยใช้คีย์คือ ‘sdg62_AS.sa$die3’

ทั้งนี้นักวิจัยได้ตั้งข้อสันนิษฐานว่าพฤติกรรมของมัลแวร์นั้นดูคล้ายกับกลุ่มคนร้ายรัสเซียที่มีนามแฝงว่า ‘Gamaredon’ สาเหตุเพราะใช้บริการโฮสต์ที่เดียวกันและพอร์ต 3436 เหมือนกันด้วย รวมถึงเทคนิคและโมดูลที่ใช้ก็คล้ายกับประวัติการโจมตีในฝั่ง Windows ของกลุ่มนี้

ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากบล็อกของ Intezer (มี IOCs แจกไว้ด้วย)

ที่มา :  https://www.securityweek.com/evilgnome-malware-helps-hackers-spy-linux-users และ  https://www.bleepingcomputer.com/news/security/new-evilgnome-backdoor-spies-on-linux-users-steals-their-files/