Free Download Manager site ανακατεύθυνε τους χρήστες Linux σε malware για χρόνια! Μια αναφερόμενη επίθεση στην αλυσίδα εφοδιασμού του Free Download Manager ανακατεύθυνε τους χρήστες Linux σε έναν κακόβουλο χώρο αποθήκευσης πακέτων Debian που γινόταν install malware κλοπής πληροφοριών.
Το malware που χρησιμοποιείται σε αυτήν την εκστρατεία δημιουργεί ένα reverse shell σε έναν διακομιστή C2 και εγκαθιστά έναν Bash stealer που συλλέγει δεδομένα χρήστη και πιστοποιητικά λογαριασμών.
Η Kaspersky ανακάλυψε την πιθανή περίπτωση παραβίασης της αλυσίδας εφοδιασμού κατά τη διάρκεια της έρευνας ύποπτων domain, εντοπίζοντας ότι η εκστρατεία είναι σε εξέλιξη για πάνω από τρία χρόνια.
Παρόλο που η εταιρεία κυβερνοασφάλειας ενημέρωσε τον προμηθευτή λογισμικού για το θέμα, δεν έλαβε απάντηση, οπότε οι ακριβείς τρόποι παραβίασης παραμένουν ασαφείς.
Δείτε επίσης: WiKI-Eve: Κλέβει κωδικούς πρόσβασης μέσω WiFi
Η εταιρεία Kaspersky αναφέρει ότι η επίσημη σελίδα λήψης που φιλοξενείται στο “freedownloadmanager[.]org”, μερικές φορές ανακατευθύνει εκείνους που προσπαθούν να κατεβάσουν την έκδοση Linux σε ένα κακόβουλο domain στο “deb.fdmpkg[.]org”, ο οποίος φιλοξενεί ένα κακόβουλο πακέτο Debian.
Λόγω του ότι αυτό το redirection συμβαίνει μόνο σε ορισμένες περιπτώσεις και όχι σε όλες τις προσπάθειες λήψης από τον επίσημο ιστότοπο, υποθέτεται ότι οι κακόβουλοι κώδικες στόχευαν χρήστες με επικίνδυνες λήψεις βάσει συγκεκριμένων, αλλά άγνωστων κριτηρίων.
Η Kaspersky παρατήρησε διάφορες αναρτήσεις σε κοινωνικά μέσα, όπως Reddit, StackOverflow, YouTube, και Unix Stack Exchange, όπου το κακόβουλο domain διαδόθηκε ως μια αξιόπιστη πηγή για την απόκτηση του εργαλείου Free Download Manager.
Επιπλέον, μια ανάρτηση στον επίσημο ιστότοπο του Free Download Manager το 2021 δείχνει πώς ένας μολυσμένος χρήστης επισημαίνει το κακόβουλο domain «fdmpkg.org» και του είπαν ότι δεν σχετίζεται με το επίσημο project.
Δείτε επίσης: Η κλοπή δεδομένων ξεπερνά το ransomware ως η μεγαλύτερη ανησυχία των επαγγελματιών IT
Σε αυτές τις ιστοσελίδες, οι χρήστες συζητούσαν προβλήματα με το λογισμικό τα τελευταία τρία χρόνια, ανταλλάσσοντας απόψεις για ύποπτα αρχεία και εργασίες cron που δημιουργούσε, χωρίς να συνειδητοποιούν ότι ήταν μολυσμένοι από κακόβουλο λογισμικό.
Ενώ η Kaspersky δηλώνει ότι το redirection σταμάτησε το 2022, τα παλιά βίντεο του YouTube [1, 2] εμφανίζουν ξεκάθαρα συνδέσμους λήψης στον επίσημο Free Download Manager, ανακατευθύνοντας ορισμένους χρήστες σε κακόβουλη διεύθυνση URL http://deb.fdmpkg[.]org αντί για το freedownloadmanager.org.
Το κακόβουλο πακέτο Debian, το οποίο χρησιμοποιείται για την εγκατάσταση λογισμικού σε διανομές Linux που βασίζονται στο Debian, συμπεριλαμβανομένων των Ubuntu και των παρακλάδων που βασίζονται σε αυτό, περιέχει ένα κακόβουλο script για κλοπή πληροφοριών και ένα παρασκηνιακό backdoor crond που δημιουργεί ένα reverse shell από τον C2 server.
Το στοιχείο crond δημιουργεί μια νέα εργασία cron στο σύστημα που εκτελεί ένα stealer script κατά την εκκίνηση του συστήματος.
Η εταιρεία Kaspersky ανακάλυψε ότι το crond backdoor είναι μια παραλλαγή του κακόβουλου λογισμικού ‘Bew’ που κυκλοφορεί από το 2013, με τον Bash stealer να εντοπίζεται στον ελεύθερο χώρο και να αναλύεται για πρώτη φορά το 2019. Παρ’ όλα αυτά, το εργαλείο δεν είναι πρωτότυπο.
Η έκδοση του Bash Stealer, που αναλύθηκε από την Kaspersky, συλλέγει πληροφορίες συστήματος, ιστορικό περιήγησης, κωδικούς που αποθηκεύονται στους περιηγητές, κλειδιά ελέγχου RMM, ιστορικό κέλυφους, δεδομένα πορτοφολιού κρυπτονομισμάτων και διαπιστευτήρια λογαριασμών για τις υπηρεσίες AWS, Google Cloud, Oracle Cloud Infrastructure και Azure cloud.
Δείτε επίσης: Εκστρατεία phishing στόχευσε 40 εταιρείες στην Κολομβία – Οι χάκερ εγκατέστησαν το Remcos malware
Τα συλλεγμένα δεδομένα μεταφορτώνονται στον server των χάκερ, όπου μπορούν να χρησιμοποιηθούν για να πραγματοποιηθούν περαιτέρω επιθέσεις ή να πωληθούν σε άλλους χάκερ.
Εάν έχετε εγκαταστήσει την έκδοση Linux του Free Download Manager μεταξύ 2020 και 2022, θα πρέπει να ελέγξετε και να δείτε εάν έχει εγκατασταθεί η κακόβουλη έκδοση.
Για να επιτευχθεί αυτό, αναζητήστε τα ακόλουθα αρχεία που προκαλούνται από το malware και, αν βρεθούν, διαγράψτε τα.
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
Παρά την “ηλικία” των κακόβουλων εργαλείων που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις, τα σημάδια ύποπτης δραστηριότητας σε μολυσμένους υπολογιστές και πολλές αναφορές στα μέσα κοινωνικής δικτύωσης, το κακόβουλο πακέτο Debian παρέμεινε ανεντόπιστο για χρόνια.
Η εταιρεία Kaspersky αναφέρει ότι αυτό οφείλεται σε μια συνδυασμένη επίδραση παραγόντων, συμπεριλαμβανομένης της σπανιότητας των κακόβουλων προγραμμάτων στο Linux και της περιορισμένης εξάπλωσης λόγω της ανακατεύθυνσης μόνο ενός μέρους των χρηστών στο μη επίσημο URL.
Πηγή πληροφοριών: bleepingcomputer.com
