Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

EvilGnome : un nouveau malware qui espionne et cible les utilisateurs de PC Linux
Il inclut plusieurs modules malveillants

Le , par Christian Olivier

118PARTAGES

12  0 
Le nombre de logiciels malveillants ciblant les plateformes Linux peut sembler dérisoire comparé à la myriade de virus qui foisonnent sur les plateformes Windows. Cette différence pourrait notamment s’expliquer par les particularités inhérentes à leur architecture et leur popularité respectives. De plus, un grand nombre de logiciels malveillants ciblant l’écosystème Linux se concentrent principalement sur le cryptojacking et la création de botnets pour mener des attaques DDoS.

Des chercheurs en sécurité ont récemment découvert un nouveau logiciel espion ciblant les PC Linux. Ce malware semblait être encore en phase de développement et de test, mais incluait déjà plusieurs modules malveillants pour espionner les utilisateurs de PC Linux. L’équipe de recherche de la société de cybersécurité Intezer Labs a révélé un virus, baptisé EvilGnome, qui dispose de fonctionnalités peu communes par rapport à la plupart des malwares Linux répertoriés et passait, jusqu’à lors, à travers les mailles des filets de tous les principaux antivirus du marché.


EvilGnome a été conçu pour prendre des captures d’écran de bureau, voler des fichiers, capturer des enregistrements audio depuis le microphone, mais également pour télécharger et exécuter d’autres modules malveillants, tout ça à l’insu de l’utilisateur. La version de EvilGnome découverte par Intezer Labs sur VirusTotal contenait par ailleurs une fonctionnalité inachevée de keylogger indiquant qu’il a été probablement mis en ligne par erreur par son développeur.

Selon les chercheurs, EvilGnome est un véritable logiciel espion qui se fait passer pour une extension GNOME légitime. Ce spyware est livré sous la forme d’un script shell d’archive auto-extractible créé avec « makeself », un petit script shell qui génère une archive tar compressé auto-extractible à partir d’un répertoire. Il persiste sur le système cible à l’aide de crontab, un outil similaire au planificateur de tâches de Windows, et envoie les données utilisateur volées à un serveur distant contrôlé par un attaquant.


« La persistance est obtenue en enregistrant gnome-shell-ext.sh pour l’exécuter chaque minute dans crontab. Enfin, le script exécute gnome-shell-ext.sh, qui à son tour lance l’exécutable principal gnome-shell-ext », ont dit les chercheurs.

EvilGnome intègre cinq modules malveillants appelés « Shooters » :
  • ShooterSound qui utilise PulseAudio pour capturer l’audio du microphone de l’utilisateur et télécharger les données sur le serveur de commande et de contrôle de l’opérateur ;
  • ShooterImage qui module utilise la bibliothèque open source Cairo pour effectuer des captures d’écran et les télécharger sur le serveur C&C en ouvrant une connexion au serveur XOrg Display Server ;
  • ShooterFile qui utilise une liste de filtres pour analyser le système de fichiers à la recherche de nouveaux fichiers créés et les télécharger sur le serveur C&C ;
  • ShooterPing qui reçoit de nouvelles commandes du serveur C&C, y compris la mise en veille de tous les Shooters ;
  • ShooterKey qui n’était pas encore implémenté et utilisé, probablement un module de keylogging inachevé.


Ces différents modules procèdent au chiffrement des données qu’ils envoient et déchiffrement des commandes reçues du serveur C&C avec la clé RC5 « sdg62_AS.sa$die3 » en utilisant une version modifiée d’une bibliothèque russe open source. Les chercheurs ont également trouvé des liens entre EvilGnome et Gamaredon, un groupe de menace russe présumé qui est actif depuis au moins 2013 et qui cible des individus travaillant avec le gouvernement ukrainien.

« Nous pensons qu’il s’agit d’une version de test prématurée. Nous prévoyons que de nouvelles versions seront découvertes et révisées à l’avenir, ce qui pourrait permettre de mieux comprendre les activités du groupe », ont conclu les chercheurs. Pour vérifier si votre système Linux est infecté par le spyware EvilGnome, vous pouvez chercher l’exécutable « gnome-shell-ext » dans le répertoire « ~/.cache/gnome-software/gnome-shell-extensions ».

Source : Intezer Labs

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Cryptojacking : les datacenters et les infrastructures cloud pourraient être les prochaines cibles des cybercriminels, selon une étude Bitdefender
De nouvelles vulnérabilités découvertes sur les systèmes Linux et FreeBSD permettant aux pirates d'avoir un contrôle à distance
Red Hat découvre trois vulnérabilités dans le noyau Linux qui pourraient nuire aux systèmes Linux par une attaque du ping de la mort

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 18/07/2019 à 15:52
Les systèmes d'exploitation GNU/Linux, Unix et « Unix-like » sont en général considérés comme très bien protégés mais pas totalement immunisés. En effet, jusqu'ici, aucun virus opérant sous Linux n'a été répertorié comme étant très répandu, comme c'est le cas avec Microsoft Windows. Ceci est souvent attribué au fait que les virus Linux ne peuvent accéder aux privilèges « root » et à la rapidité des corrections pour la plupart des vulnérabilités de Linux.
L'argument souvent avancé, consistant à expliquer l’absence de logiciels malveillants sous Linux par une part de marché très faible (et donc peu d’intérêt pour les pirates) ne tient pas. En effet, si Linux est peu utilisé sur les ordinateurs personnels, il est extrêmement répandu sur les serveurs, les systèmes embarqués, les supercalculateurs, là même où l’exploitation de logiciel malveillante serait la plus profitable.
En résumé, sous GNU/Linux, grâce à la gestion de droits d'accès, votre système est à l'abri, mais vos données ne le sont pas nécessairement. Aucun antivirus ne vous protégera d'un script malicieux, car son rôle n'est pas de protéger les données utilisateurs mais le système d'exploitation. D'une certaine manière, un antivirus est donc inutile et le premier maillon de la sécurité de votre système, c'est vous. Pensez à faire des sauvegardes quand vous faites quelque chose de potentiellement risqué !
https://doc.ubuntu-fr.org/antivirus

Quand l'OS n'est pas un gruyère et est réactif, en soit un antivirus n'a aucune utilité. Les antivirus se basent sur des signatures de virus. Mais si dès le départ on colmate les failles dans les 48h, le virus devient obsolète avant même que l'antivirus ne puisse apprendre à le détecter.

De surcroît, sous Linux, on peut régler très finement les droits, dans les cas de serveurs, on peut faire des containeurs, monter des systèmes de fichiers en read-only, utiliser plusieurs utilisateurs et groupes d'utilisateurs avec des droits différents, on peut vérifier l'intégrité des fichiers, e.g. trivialement avec un git, il n'y a pas d'exécutions automatiques dans tous les sens. Le principal usage des antivirus étant alors de détecter les virus Windows, pour éviter d'infecter ses voisins.
7  0 
Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 18/07/2019 à 20:43
Y'a pas à dire, c'est quand même génial un logiciel libre. Sous Windows, on entend parler d'un malware lorsqu'il a infecté des millions de machines. Sur GNU/Linux, on entend parler d'un malware lorsqu'il est encore en cours de développement et on peut étudier son code source.

(si vous me cherchez, je suis déjà dehors)
7  1 
Avatar de LeBressaud
Membre actif https://www.developpez.com
Le 18/07/2019 à 13:52
Citation Envoyé par Christian Olivier Voir le message
...et passait, jusqu’à lors, à travers les mailles des filets de tous les principaux antivirus du marché.
Dans tous les cas les utilisateurs Linux ont tendance à se sentir invincible et n'en installent pas
5  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 18/07/2019 à 14:41
Citation Envoyé par Kulvar Voir le message
Les virus Mac et Linux ça n'existe pas voyons. Il n'y a que Windows qui a besoin d'un anti-virus.
C'est une exagération, c'est basé sur le fait qu'il existe plus de virus et de malwares sous Windows que sous Linux.
Quand quelqu'un développe un virus il veut toucher le plus grand nombre et comme Windows est l'OS le plus utilisé...

En plus ça doit être plus facile de trouver des gens qui font n'importe quoi sous Windows.
Il parait qu'à l'époque il y avait des envoies d'emails massifs "Fonds d'écran Clara Morgan gratuit" avec un fichier .exe en pièce jointe.
Ça demandait le niveau admin pour installer les fonds d'écran, ça n'installait pas que des fonds d'écrans.
4  0 
Avatar de yahiko
Rédacteur/Modérateur https://www.developpez.com
Le 19/07/2019 à 5:53
Citation Envoyé par Markand Voir le message
Faudra m'expliquer en quoi c'est un virus. Je fais un script shell qui fait plein de conneries, je l'envoie par mail et je te dis de l'exécuter et ce sera aussi considéré comme un virus ?

Les extensions GNOME ne sont pas fournies par GNOME et sont donc à télécharger soi même à vos risques et périls, donc vous exécutez de votre plein gré un potentiel logiciel malveillant. En aucun cas il s'agit d'un virus qui se propage sur votre système à votre insu sans ayant fait une quelconque démarche.

Article à sensation totalement à côté de la plaque.
Ce n'est pas au sens strict du terme un virus, dans le sens où ce programme ne s'auto-réplique pas.
Il est à relever à la décharge du rédacteur de l'article que les termes mis en avant sont "malware" et "spyware", et que le terme "virus" n'est surtout utilisé que pour éviter les répétitions, peu seyantes en langue française.

Après un virus ou un malware n'a pas besoin de faire des choses extraordinaires pour être considéré comme nuisible. Un simple affichage d'un message à l'improviste, par exemple "Windows est le meilleur OS", suffit pour que ce soit considéré comme un "malware".
4  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 18/07/2019 à 16:45
Dans tous les cas les utilisateurs Linux ont tendance à se sentir invincible et n'en installent pas
C'est souvent dis en boutade. Mais il y a 4 raison qui explique ce fait :
- C'est surtout que Linux étant souvent installé sur de vieux PC, il y est alors plus critique d'ajouter la charge d'un anti-virus.
- De plus sous Linux, il est plus courant d'avoir derrière quelqu'un d'un peu plus informaticien connaissant les manipulation risqués. Et s'il doit laisser le PC entre des mains non experte, il ne lui donnera pas les droits d'administration... ce qui est plus complexe a faire sous Windows et moins souvent fait.
- Enfin, on mise aussi, il est vrai sur le fait que les virus ciblant moins Linux, le risque est relativement moindre. (Parce que Linux est moins installé et qu'il y a moins de "naïfs" sur Linux, donc a nombre équivalent moins de personnes à clicker)
- Les PC Linux se mettent plus simplement à jour, les failles sont donc souvent plus vite corrigé. Sous Windows les virus exploitent souvent de vielles failles corrigés depuis longtemps.

Il est certains qu'un anti-virus reste malgré tout, une sage protection à ne pas négliger.
3  0 
Avatar de deltree
Membre confirmé https://www.developpez.com
Le 18/07/2019 à 17:08
Ah les bonne vieilles idées reçues!
Vous oubliez un truc important: Sous linux la plupart du temps on installe nos applis via un dépôt, et il y a la plupart des applis dont on a besoin, on ne passe normalement que par ça! Sous windows, le store est loin d'être aussi fourni, trop restrictif amha.

Si on fait attention de ne rien installer par ailleurs, et de protéger aussi son browser (no-script...) , effectivement pas besoin d'anti-virus.
Une bonne partie des virus Windows vient des exe donnés par des sites tiers (softonic...) pour le reste c'est les failles du browser et aussi effectivement l’exécution par l'utilisateur des pièces jointes envoyées par mail (ben le faite pas quoi !)

De toute façon je ne supporte pas que 50% de mon PC soit utilisé pour la détection de virus, je préfère réinstaller au pire.
4  1 
Avatar de Markand
Membre confirmé https://www.developpez.com
Le 18/07/2019 à 17:44
Faudra m'expliquer en quoi c'est un virus. Je fais un script shell qui fait plein de conneries, je l'envoie par mail et je te dis de l'exécuter et ce sera aussi considéré comme un virus ?

Les extensions GNOME ne sont pas fournies par GNOME et sont donc à télécharger soi même à vos risques et périls, donc vous exécutez de votre plein gré un potentiel logiciel malveillant. En aucun cas il s'agit d'un virus qui se propage sur votre système à votre insu sans ayant fait une quelconque démarche.

Article à sensation totalement à côté de la plaque.
4  1 
Avatar de Kulvar
Membre habitué https://www.developpez.com
Le 18/07/2019 à 13:59
Citation Envoyé par LeBressaud Voir le message
Dans tous les cas les utilisateurs Linux ont tendance à se sentir invincible et n'en installent pas
Les virus Mac et Linux ça n'existe pas voyons. Il n'y a que Windows qui a besoin d'un anti-virus.
On m'a sorti ça une fois.
2  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 19/07/2019 à 9:02
Citation Envoyé par Ryu2000 Voir le message
Les antivirus ne consomment pas autant de ressource.
Maintenant qu'on a 8 cœurs, 16 Go de RAM et un SSD pour l'OS, on ne sent pas la différence ^^
C'était Norton Antivirus qui était super gourmand et inefficace.
Mon pc a 4 coeurs, 8 go de ram et juste un HDD. Ma mère a 1 coeurs, 2go de ram, un hdd. Sur un portable datant d'il y a 6 ans. Crois moi,on sent la différence de perf avec ou sans l'anti virus.

PS : Quelqu'un connaît un antivirus open source qui vaut quelque chose ?
2  0 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web