Malware en Linux: Además de Python, ahora es con las extensiones de Gnome

Recientemente se han encontrado en el índice oficial de paquetes para Python (Python Package Index) tres paquetes firmados por el usuario ruri12, a saber: libpeshnx, libpesh y libari infectados con código que les permite abrir una puerta trasera (Backdoor) cuando son instalados en un sistema Linux.

Pero quizás la peor parte de la noticia, no es que la infección  haya ocurrido en los repos oficiales Python, sino,  que estos tres paquetes estuvieron en el mentado índice durante 20 meses, hasta que fueron finalmente removidos el 9 de Julio.

La infección fue descubierta por ReversingLabs, firma que notificó sus hallazgos a los desarrolladores de Python, quienes no tenían idea de lo que estaba sucediendo. La firma notificó además, que si bien es cierto los paquetes no tenían ninguna descripción, fueron sin embargo, descargados decenas de veces cada mes.

El malvado nomo que espía y roba tu información

EvilGnome es un nuevo malware para sistemas Gnu/Linux, que permanece oculto haciéndose pasar por un archivo propio de las extensiones Gnome. Este nuevo malware fue descubierto por Intezer Labs a principios de mes.

El multifacético programita es capaz de tomar capturas de pantalla, enviar archivos, capturar audio/vídeo y es capaz de descargar y ejecutar módulos adicionales en los sistemas infectados. Además cuenta con un keylogger, que al parecer no pudo ser implementado completamente.

La infección se lleva a cabo sacando ventaja de un argumento autorun, dejado posiblemente por error en los encabezados, y que instruye a ejecutar el archivo setup.sh que escribe el malware en la ubicación ~/.cache/gnome-software/gnome-shell-extensions/

Evilgnome agrega además un archivo llamado gnome-shell-ext.sh, mismo que es ejecutado al final del proceso de infección, encargado de cargar el modulo de espionaje.

Cabe mencionar que ni Evilgnome ni los tres paquetes Python, son detectables por los principales servicios antivirus en linea (como Virus Total) ni por los principales productos de software de seguridad antivirus,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *