НКЦКИ уведомляет о новом шпионском ВПО

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупреждает о новом шпионском ВПО «EvilGnome», которое нацелено на рабочие станции под управлением UNIX-подобных операционных систем.

На текущий момент данное ВПО не определяется антивирусными средствами.

ВПО распространяется при помощи самораспаковывающегося архива в виде shell-скрипта. После попадания на целевую систему устанавливается в папку ~/.cache/gnome-software/gnome-shell-extensions/ и начинает отправлять все данные, собранные с помощью модулей, в центр управления. Функции модулей позволяют записывать звук с микрофона пользователя, создавать снимки экрана, сканировать файловую систему на наличие недавно созданных файлов.

Отмечается, что данная версия является незавершённым тестовым прототипом, который впоследствии будет дорабатываться и изменяться.

Рекомендации по противодействию:

1. Применять актуальные политики безопасности.
2. Блокировать средствами межсетевого экранирования соединения с серверами злоумышленников.
3. Добавить контрольные суммы файлов ВПО в чёрные списки AV/ATP-решений.

Скачать бюллетень НКЦКИ в формате PDF: