ຈາກ​ຫຼັກ​ຖານ​ຊີ້​ໃຫ້ເຫັນວ່າ ​ມັນ​ແວ​ (Malware) ໜ້າ​ຈະ​ຢູ່ໃນ​ເວີ​ຊັ່ນ (Version) ກໍາລັງ​ພັດທະນາ ​ເພາະ​ຍັງ​ມີ​ຄຳອະທິບາຍປະ​ກອບ​ໄວ້ຢ່າງຫຼວງ​ຫຼາຍ​ ຈຶ່ງ​ຄາດ​ການວ່າໂຕທີ່ພົ​ບ​ເທິງ VirusTotal ນັ້ນ ​ອາດ​ຖືກ​ອັບ​ໂຫຼດ​ຂຶ້ນ​ມາ​ໂດຍ​ບໍ່​ໄດ້​ຕັ້ງ​ໃຈ ໃນເບື້ອງຕົ້ນມັນ​ແວ​ຈະ​ມາ​ໃນ​ຮູບ​ແບບ​ຂອງ Self-extracting Archive ທີ່​ຖືກ​ສ້າງ​ດ້ວຍ makeself ຊຶ່ງ​ການ​ຕິດ​ມັນ​ແວ​ສາມາດ​ເກີດ​ຂຶ້ນ​ໄດ້​ຢ່າງ​ອັດຕະ​ໂນ​ມັດ​ຈາກ Argument ໃນ Payload ທີ່​ຈະ​ໄປ​ອອກ​ຄຳ​ສັ່ງ​ໃຫ້​ເປີດ setup.sh ນຳ​ໄປ​ສູ່​ການ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​ໄວ້​ທີ່ Path ‘ ~/.cache/gnome-software/gnome-shell-extensions/’. ດັ​ງ​ນັ້ນ,​ ຈະ​ເຫັນ​ໄດ້​ວ່າ​ ມັນ​ແວ​ປະ​ຕິ​ບັດຕົນເອງ​ຄືກັບ​ເປັນ Gnome Extension.

ຂັ້ນ​ຕອນ​ຕໍ່ມາ​ ມັນ​ແວ​​ຈະ​ເປີດສະ​ຄຣິບ​ (Script) ທີ່​ຊື່ gnome-shell-ext.sh ເພື່ອ​ເຂົ້າ​ແຊກ​ຊຶມ Crontab ໃຫ້​ກວດ​ສອບທຸກ​ນາ​ທີ​ວ່າ Spyware Agent ຍັງ​ເປີດ​ຢູ່​ ຫຼື​ ບໍ່ ຈາກ​ນັ້ນ​ຈະ​ມີ​ການ​ເອີ້ນ Agent ຕົວ​ຫຼັກ​ທີ່​ຊື່ gnome-shell-ext ​ຖືກ​ພັດທະນາ​ຂຶ້ນ​ດ້ວຍພາສາ C++ ເປັນແບບ Object Oriented ຊຶ່ງ​ພາຍ​ໃນ Agent ຈະ​ປະກອບ​ດ້ວຍ 5 ໂມ​ດູນ ​ທີ່​ມີ​ຄວາມ​ສາມາດ​ຕ່າງ​ໆ ຄື: ຄົ້ນຫາ​ລະບົບ​ເພື່ອ​ຫາ​ໄຟ​ລ໌ໃໝ່, ດັກ​ຈັບ​ສຽງ​ຂອງ​ໄມ​ໂຄຣ​ໂຟນ, ບັນ​ທຶກ​ພາບ​ໜ້າ​ຈໍ, ຮັບ​ຄຳ​ສັ່ງ​ຈາກ​ເ​ຊິ​​ເວີ​ຄວບ​ຄຸມ ແລະ​ ດັກ​ຈັບ​ການ​ກົດ​ຄີ​ບ​ອ​ດ. ນອກ​ຈາກ​ນີ້,​ ​ແຕ່​ລະ​ໂມ​ດູນ​ຈະ​ມີ​ການ​ເປີດ Thread ແຍກ​ກັນ​ ແລະ ​ປ້ອງ​ກັນ Race condition ດ້ວຍ Mutex ​ຍັງມີ​ການ​ໃຊ້​ການ​ເຂົ້າ​ລະຫັດ​ ແລະ ​ຖອດ​ລະ​ຫັດ​ລະຫວ່າງ​ສື່​ສານ​ກັບ​ເ​ຊິ​ເວີ​ຄ​ວບ​ຄຸມ​ດ້ວຍ RC5 ໂດຍ​ໃຊ້​ຄີ (Key)​ ​ຄື ‘sdg62_AS.sa$die3’.

ນັກ​ວິໄ​ຈ​ໄດ້​ຕັ້ງ​ຂໍ້​ສັນ​ນິ​ຖານ​ວ່າ ​ພຶດຕິກຳ​ຂອງ​ມັນ​ແວ​​ນັ້ນ​ເບິ່ງ​ຄ້າຍ​ຄືກັບ​ກຸ່ມ​ຄົນ​ຮ້າຍ​ໃນຣັດ​ເຊຍ​ທີ່​ມີ​ນາມ​ແຝງ​ວ່າ ‘Gamaredon’ ສາ​ເຫດ​ເພາະ​ໃຊ້​ບໍລິການ​ໂຮ​ສ​​ (Host) ບ່ອນ​ດຽວ​ກັນ ​ແລະ ​ພອດ (Port) 3436 ຄືກັນ​ ລວມເຖິງ​ເຕັກ​ນິກ​ ແລະ ​ໂມ​ດູນ​ທີ່​ໃຊ້​ກໍໍ່​ຄ້າຍຄື​ກັບ​ປະຫວັດ​ການ​ໂຈມ​ຕີ​ໃນ​ຝັ່ງ Windows ຂອງ​ກຸ່ມ​ນີ້.

ເອກະສານອ້າງອີງ: 

1. https://www.securityweek.com/evilgnome-malware-helps-hackers-spy-linux-users
2. https://www.bleepingcomputer.com/news/security/new-evilgnome-backdoor-spies-on-linux-users-steals-their-files/
3. https://www.techtalkthai.com/found-evilgnome-backdoor-focus-on-spying-linux-user/