Добавить в корзинуПозвонить
Найти в Дзене
Герман Геншин

Сайт Free Download Manager годами перенаправлял пользователей Linux на вредоносное ПО

Сообщается, что атака на сайт Free Download Manager перенаправляла пользователей Linux на вредоносный репозиторий пакетов Debian, который устанавливал вредоносное ПО, похищающее информацию. Вредоносная программа, используемая в этой кампании, устанавливает обратную оболочку на сервер C2 и инсталлирует Bash-похититель, который собирает данные пользователей и учетные данные. Компания "Касперский" обнаружила потенциальный случай компрометации цепочки поставок при исследовании подозрительных доменов и пришла к выводу, что эта кампания ведется уже более трех лет. Хотя компания, занимающаяся кибербезопасностью, проинформировала об этом производителя программного обеспечения, ответа она не получила, поэтому точный способ компрометации остается неясным. Герман Геншин также обратился за комментарием к производителю Free Download Manager, но к моменту публикации ответа не получил. Прямые загрузки и перенаправления По словам Касперского, официальная страница загрузки, размещенная на сайте "freedo
Оглавление

Сообщается, что атака на сайт Free Download Manager перенаправляла пользователей Linux на вредоносный репозиторий пакетов Debian, который устанавливал вредоносное ПО, похищающее информацию.

Вредоносная программа, используемая в этой кампании, устанавливает обратную оболочку на сервер C2 и инсталлирует Bash-похититель, который собирает данные пользователей и учетные данные.

Компания "Касперский" обнаружила потенциальный случай компрометации цепочки поставок при исследовании подозрительных доменов и пришла к выводу, что эта кампания ведется уже более трех лет.

Хотя компания, занимающаяся кибербезопасностью, проинформировала об этом производителя программного обеспечения, ответа она не получила, поэтому точный способ компрометации остается неясным.

Герман Геншин также обратился за комментарием к производителю Free Download Manager, но к моменту публикации ответа не получил.

Прямые загрузки и перенаправления

По словам Касперского, официальная страница загрузки, размещенная на сайте "freedownloadmanager[.]org", иногда перенаправляла тех, кто пытался загрузить версию Linux, на вредоносный домен "deb.fdmpkg[.]org", где размещался вредоносный пакет Debian.

Поскольку перенаправление происходило только в некоторых случаях, а не во всех попытках загрузки с официального сайта, можно предположить, что скрипты нацеливали пользователей на вредоносные загрузки по определенным, но неизвестным критериям.

-2

Касперский наблюдал различные сообщения в социальных сетях, на Reddit, StackOverflow, YouTube и Unix Stack Exchange, где вредоносный домен распространялся как надежный источник для получения инструмента Free Download Manager.

Более того, в сообщении на официальном сайте Free Download Manager в 2021 году показано, как зараженный пользователь указывает на вредоносный домен 'fdmpkg.org' и получает ответ, что он не связан с официальным проектом.

На тех же сайтах пользователи обсуждали проблемы с программой в течение последних трех лет, обмениваясь мнениями о создаваемых ею подозрительных файлах и заданиях cron, и никто из них не подозревал, что заражен вредоносным ПО.

Хотя Касперский утверждает, что перенаправление прекратилось в 2022 году, на старых видеороликах YouTube [1, 2] отчетливо видны ссылки на загрузку официального Free Download Manager, перенаправляющие некоторых пользователей на вредоносный URL http://deb.fdmpkg[.]org, а не на freedownloadmanager.org.

Однако такое перенаправление использовалось не для всех: на другом видео, снятом примерно в то же время, пользователь загружает программу с официального URL.

Развертывание вредоносных программ, похищающих информацию

Вредоносный пакет Debian, который используется для установки программного обеспечения дистрибутивов Linux на базе Debian, включая Ubuntu и форки Ubuntu, содержит скрипт кражи информации Bash и бэкдор crond, устанавливающий обратный shell с сервера C2.

Компонент crond создает в системе новое задание cron, которое запускает скрипт кражи при старте системы.

По данным Касперского, бэкдор crond является вариантом вредоносной программы Bew, циркулирующей с 2013 года, а крадущий скрипт Bash был обнаружен в природе и впервые проанализирован в 2019 году. При этом набор инструментов не является новым.

Версия Bash stealer, проанализированная "Касперским", собирает системную информацию, историю просмотров, сохраненные в браузерах пароли, ключи аутентификации RMM, историю оболочек, данные криптовалютных кошельков, учетные данные облачных сервисов AWS, Google Cloud, Oracle Cloud Infrastructure и Azure.

-3

Собранные данные загружаются на сервер злоумышленников, где могут быть использованы для проведения дальнейших атак или проданы другим участникам угроз.

Если в период с 2020 по 2022 год была установлена Linux-версия Free Download Manager, необходимо проверить, не была ли установлена вредоносная версия.

Для этого найдите следующие файлы, сброшенные вредоносной программой, и, если они обнаружены, удалите их:

  • /etc/cron.d/collect
  • /var/tmp/crond
  • /var/tmp/b

Несмотря на возраст вредоносных инструментов, использованных в этих атаках, признаки подозрительной активности на зараженных компьютерах и многочисленные сообщения в социальных сетях, вредоносный пакет Debian оставался необнаруженным в течение многих лет.

По мнению Касперского, это объясняется сочетанием нескольких факторов, в том числе редкостью вредоносного ПО для Linux и ограниченным распространением из-за того, что лишь часть пользователей была перенаправлена на неофициальный URL.

По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!