EvilGnome Spyware oculto en Linux

Rudy Flores

¿Qué es EvilGnome?

EvilGnome es un Spyware descubierto recientemente enfocado a Sistemas Operativos GNU/Linux el cual se hace pasar como una extensión para el escritorio de Gnome (Actualmente uno de los mas usados).

¿Que hace EvilGnome?

Evilgnome esta estructurado en módulos los cuales al infectar un ordenador puede ejecutar las siguientes tareas:

  • ShooterSound: captura el micrófono del usuario y subir las grabaciones.
  • ShooterImage: toma capturas de pantalla.
  • ShooterFile: escanea los discos duros para detectar archivos y copiarlos a un server remoto.
  • ShooterPing: controla de forma remota el spyware, para descargar y ejecutar nuevos archivos o módulos.
  • ShooterKey: implementa un keylogger, (aun no funciona).

¿Estoy infectado?

Hasta ahora los antivirus no detectan a EvilGnome como una amenaza, puesto que al hacerse pasar como una extensión de Gnome, evita levantar sospechas. Por ello debe de realizarse una revisión de manera manual para ello se debe abrir una terminal y ejecutar los siguientes comandos:

Entrara a la ruta de las extensiones de Gnome

cd ~/.cache/gnome-software/shell-extensions

Listar todos los archivos (incluyendo archivos ocultos)

ls -al

Si en la lista de archivos aparece un archivo llamado gnome-shell-ext.sh es probable que el equipo este comprometido.

Solución

EvilGnome funciona con un archivo tipo script llamado gnome-shell-ext.sh el cual debe eliminarse para ello se deben seguir los siguientes pasos:

  • Reiniciar el PC.
  • Al iniciar la Bios mantener presionado la tecla Shitt.
  • Iniciar modo seguro (Recovery Mode) > Consola de SuperUsuario (root).
  • En la consola como root revisar las carpetas de usuario del sistema (carpeta /home de el o los usuarios).

por ejemplo:

cd /homer/user/.cache/gnome-software/shell-extensions
ls -al
rm gnome-shell-ext.sh

Con esto se elimina el archivo gnome-shell-ext.sh que ejecuta el spyware.

Sugerencias

Algunas recomendaciones sugieren bloquear algunas direcciones IP o puertos (3436) para mitigar el problema lo cual puede ser de ayuda a corto plazo, pero si este malware llegara a actualizarse estas medidas podrían no ser útiles.

Este malware se aprovecha de los usuarios poco cautos que no se aseguran de la fuente del software que se instalan, en este caso complementos. Siempre es recomendable mantener el software actualizado y descargar el software solo de fuentes oficiales.

Debido a que este Malware contiene la opción de control de manera remota puede que no sea el único software malicioso en el equipo, es recomendable analizar el sistema en búsqueda de malwares.

Aquí termina esta entrada espero que les sea de utilidad y aclare tus dudas. pronto habrá una próxima entrada con mas noticias, novedades y laboratorios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *