SHA1:
- 3790284950a986bc28c76b5534bfe9cea1dd78b0
Ce malware ciblant Linux a été conçu pour effectuer des captures d’écran toutes les 30 secondes. Il peut charger le dossier /tmp sur le serveur et télécharger différents fichiers sur commande des cybercriminels.
Une fois lancé, il vérifie les fichiers suivants:
- $HOME/$DATA/.mozilla/firefox/profiled
- $HOME/$DATA/.dropbox/DropboxCache
où $DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)
Si les fichiers indiqués ne sont pas trouvés, le Trojan sauvegarde sa propre copie nommée comme l’un des fichiers choisi au hasard. Puis la copie est lancée depuis un nouveau répertoire. Le corps du Trojan contient une clé RSA utilisée pour obtenir la clé de la session AES. Si le lancement fonctionne, Linux.Ekoms.1 se connecte au serveur dont les adresses sont codées en dur (hard-coded) dans son corps. Toutes les données transmises entre le serveur et Linux.Ekoms.1 sont chiffrées. Le chiffrement est initialement effectué en utilisant la clé publique ; et le déchiffrement est exécuté en appliquant la fonction RSA_public_decrypt aux données reçues.
Le Trojan échange des données avec le serveur en utilisant AbNetworkMessage. La ligne id détermine les actions exécutées :
| id | Action effectuée |
|---|---|
| 0xff9c | Installe la clé AES. |
| 0xff9b | Configure un proxy pour la connexion au serveur. |
| 0xff93 | Créé un objet downloader. Le corps du message contient transactionId. Un fichier nommé au hasard est créé. |
| 0xff92 | Le corps du fichier et transactionId sont envoyés. Puis le fichier est sauvegardé et le downloader est supprimé. |
| 0xff94 | Lance onCommand, qui, en retour, créée l’objet SearchAndUploadFiles. Il est probable que cette fonction ne soit pas implémentée car la méthode run() lancée dans un nouveau thread retourne le contrôle immédiatement. |
| 0xff98 | Reçu comme la réponse à la requête UploadRequest envoyée par le Trojan. |
| 0xff97 | UploadStatus. |
| 0xff99 | OnBotServiceControl. Met un service spécifique sur on/off. |
| 0xff9a | infoClassesRequest. Envoie le statut des services. |
UploadRequest créé le thread séparé AbUploaderThread où tous les fichiers du dossier /tmp sont chargés sur le serveur. Le chemin complet vers ces fichiers utilise plus de 31 octets.
Le Trojan lance les services suivants :
EkomsAutorun:
Il sauvegarde les données suivantes dans le fichier $HOME/.config/autostart/%exename%.desktop :
[Desktop Entry]
Type=Application
Name=%exename%
Exec=%pathtoexe%
Terminal=falseEnsuite, il recherche sans cesse le fichier. S’il ne le trouve pas, le fichier est de nouveau créé.
EkomsUserActivity:
Le service effectue une capture d’écran toutes les 30 secondes et les sauvegarde dans un dossier temporaire au format JPEG avec un nom au format ss%d-%s.sst, où %s est un horodateur. Si le fichier n’est pas sauvegardé, le Trojan tente de le sauver au format BMP.
EkomsCcClient:
Génère une liste de filtrage des fichiers "aa*.aat", "dd*ddt", "kk*kkt", "ss*sst” qui sont recherchés dans la localisation temporaire et charge les fichiers qui correspondent à ces critères sur le serveur. Si la réponse est la ligne uninstall, Linux.Ekoms.1 télécharge le fichier exécutable /tmp/ccXXXXXX.exe sur le serveur, le sauvegarde dans le dossier temporaire et le lance.
En plus de ses capacités à effectuer des captures d’écran, le Trojan possède la classe spéciale AbAudioCapture pour enregistrer le son et le sauvegarder avec le nom aa-%d-%s.aat au format WAV. Cependant, cette fonction n’est utilisée nulle part.
