Ο ιστότοπος Free Download Manager ανακατεύθυνε τους χρήστες Linux σε κακόβουλο λογισμικό για χρόνια
Μια αναφερόμενη επίθεση στην αλυσίδα εφοδιασμού του Free
Download
Manager ανακατεύθυνε τους χρήστες Linux σε έναν κακόβουλο χώρο αποθήκευσης πακέτων Debian που εγκατέστησε
κακόβουλο λογισμικό
κλοπής πληροφοριών.
Το κακόβουλο λογισμικό που χρησιμοποιείται σε αυτήν την καμπάνια δημιουργεί ένα αντίστροφο κέλυφος σε έναν διακομιστή C2 και εγκαθιστά ένα πρόγραμμα κλοπής Bash που συλλέγει δεδομένα χρήστη και διαπιστευτήρια λογαριασμού.
Kaspersky
ανακαλύφθηκε
την πιθανή υπόθεση συμβιβασμού της αλυσίδας εφοδιασμού κατά τη διερεύνηση ύποπτων τομέων, διαπιστώνοντας ό
τι
η εκστρατεία βρίσκεται σε εξέλιξη για περισσότερα από τρία χρόνια.
Αν και η εταιρεία κυβερνοασφάλειας ενημέρωσε τον προμηθευτή λογισμικού σχετικά, δεν έχει λάβει απάντηση, επομένως τα ακριβή μέσα συμβιβασμού παραμένουν ασαφή.
Η BleepingComputer επικοινώνησε επίσης με τον προμηθευτή του Free Download Manager για ένα σχόλιο, αλλά δεν έχουμε λάβει νέα μέχρι την ώρα της δημοσίευσης.
Άμεσες λήψεις και ανακατευθύνσεις
Η Kaspersky λέει ότι η επίσημη σελίδα λήψης που φιλοξενείται στο “freedownloadmanager[.]org” μερικές φορές ανακατευθύνει όσους προσπαθούν να κάνουν λήψη της έκδοσης Linux σε έναν κακόβουλο τομέα στο “deb.fdmpkg[.]org,” που φιλοξενεί α
κακόβουλο πακέτο Debian
.
Λόγω αυτής της ανακατεύθυνσης που συμβαίνει μόνο σε ορισμένες περιπτώσεις και όχι σε όλες τις περιπτώσεις απόπειρας λήψης από τον επίσημο ιστότοπο, υποτίθεται ότι τα σενάρια στόχευαν χρήστες με κακόβουλες λήψεις με βάση συγκεκριμένα αλλά άγνωστα κριτήρια.
Η ανακατεύθυνση που καταγράφηκε στο φροντιστήριο εγκατάστασης του YouTube
(BleepingComputer)
Η Kaspersky παρατήρησε διάφορες αναρτήσεις στα μέσα κοινωνικής δικτύωσης, Reddit, StackOverflow, YouTube και
Unix Stack Exchange
όπου ο κακόβουλος τομέας διαδόθηκε ως αξιόπιστη πηγή για τη λήψη του εργαλείου Free Download Manager.
Επιπλέον, α
δημοσιεύστε στον επίσημο ιστότοπο του Free Download Manager
το 2021 δείχνει πώς ένας μολυσμένος χρήστης επισημαίνει τον κακόβουλο τομέα «fdmpkg.org» και του είπαν ότι δεν σχετίζεται με το επίσημο έργο.
Στους ίδιους ιστότοπους, οι χρήστες συζήτησαν προβλήματα με το λογισμικό τα τελευταία τρία χρόνια, ανταλλάσσοντας απόψεις σχετικά με ύποπτα αρχεία και θέσεις εργασίας cron που δημιούργησε, χωρίς κανείς να συνειδητοποιεί ότι είχε μολυνθεί από κακόβουλο λογισμικό.
Ενώ η Kaspersky δηλώνει ότι η ανακατεύθυνση σταμάτησε το 2022, παλιά βίντεο του YouTube [
1
,
2
] εμφανίστε ξεκάθαρα συνδέσμους λήψης στον επίσημο Διαχειριστή Δωρεάν Λήψης, ανακατευθύνοντας ορισμένους χρήστες σε κακόβουλο http://deb.fdmpkg[.]org URL αντί για freedownloadmanager.org.
Ωστόσο, αυτή η ανακατεύθυνση δεν χρησιμοποιήθηκε για όλους, με
άλλο βίντεο
από περίπου την ίδια στιγμή που δείχνει έναν χρήστη να κατεβάζει το πρόγραμμα από την επίσημη διεύθυνση URL.
Ανάπτυξη κακόβουλου λογισμικού κλοπής πληροφοριών
Το κακόβουλο πακέτο Debian, το οποίο χρησιμοποιείται για την εγκατάσταση λογισμικού διανομών Linux που βασίζονται στο Debian, συμπεριλαμβανομένων των πιρουνιών που βασίζονται στο Ubuntu και στο Ubuntu, ρίχνει ένα σενάριο κλοπής πληροφοριών Bash και ένα crond backdoor που δημιουργεί ένα αντίστροφο κέλυφος από τον διακομιστή C2.
Το στοιχείο crond δημιουργεί μια νέα εργασία cron στο σύστημα που εκτελεί ένα σενάριο κλοπής κατά την εκκίνηση του συστήματος.
Η Kaspersky ανακάλυψε ότι το crond backdoor είναι μια παραλλαγή του κακόβουλου λογισμικού «Bew» που κυκλοφορεί από το 2013, με τον κλέφτη Bash να εντοπίστηκε στη φύση και να αναλυθεί πρώτος το 2019. Τούτου λεχθέντος, το σύνολο εργαλείων δεν είναι νέο.
Η έκδοση Bash stealer που αναλύθηκε από την Kaspersky συλλέγει πληροφορίες συστήματος, ιστορικό περιήγησης, κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης, κλειδιά ελέγχου ταυτότητας RMM, ιστορικό κελύφους, δεδομένα πορτοφολιού κρυπτονομισμάτων και διαπιστευτήρια λογαριασμού για υπηρεσίες AWS,
Google Cloud
, Oracle Cloud Infrastructure και Azure.
Το κακόβουλο λογισμικό κλοπής πληροφοριών Bash
Αυτά τα δεδομένα που συλλέγονται στη συνέχεια μεταφορτώνονται στον διακομιστή των εισβολέων, όπου μπορούν να χρησιμοποιηθούν για τη διεξαγωγή περαιτέρω επιθέσεων ή να πωληθούν σε άλλους παράγοντες απειλής.
Εάν έχετε εγκαταστήσει την έκδοση Linux του Free Download Manager μεταξύ 2020 και 2022, θα πρέπει να ελέγξετε και να δείτε εάν έχει εγκατασταθεί η κακόβουλη έκδοση.
Για να το κάνετε αυτό, αναζητήστε τα ακόλουθα αρχεία που απορρίφθηκαν από το κακόβουλο λογισμικό και, εάν εντοπιστούν, διαγράψτε τα:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
Παρά την ηλικία των κακόβουλων εργαλείων που χρησιμοποιούνται σε αυτές τις επιθέσεις, τα σημάδια ύποπτης δραστηριότητας σε μολυσμένους υπολογιστές και τις πολλαπλές αναφορές μέσων κοινωνικής δικτύωσης, το κακόβουλο πακέτο Debian παρέμεινε απαρατήρητο για χρόνια.
Η Kaspersky λέει ότι αυτό οφείλεται σε έναν συνδυασμό παραγόντων, συμπεριλαμβανομένης της σπανιότητας κακόβουλου λογισμικού στο Linux και της περιορισμένης εξάπλωσης λόγω της ανακατεύθυνσης μόνο ενός μέρους των χρηστών στην ανεπίσημη διεύθυνση URL.