Сайт Download Manager более трех лет предоставлял пользователям Linux вредоносное ПО, которое украдкой похищало пароли и другую конфиденциальную информацию в рамках атаки на цепочку поставок.
Способ работы включал в себя создание обратной оболочки для сервера, контролируемого участником, и установку программы для удаления Bash в взломанной системе. Кампания, которая проводилась в период с 2020 по 2022 год, больше не активна.
"Этот злоумышленник собирает такие данные, как системная информация, история посещенных страниц, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)", - сказали исследователи Касперского Георгий Кучерин и Леонид Безвершенко.
Рассматриваемый веб-сайт - freedownloadmanager[.]org, который, по данным российской фирмы по кибербезопасности, предлагает законное программное обеспечение Linux под названием "Free Download Manager", но начиная с января 2020 года начал перенаправлять некоторых пользователей, которые пытались загрузить его на другой домен deb.fdmpkg[.]org, который обслуживал заминированный пакет Debian.
Есть подозрение, что авторы вредоносного ПО спроектировали атаку на основе определенных предопределенных критериев фильтрации (скажем, цифрового отпечатка пальца системы), чтобы выборочно привести потенциальных жертв к вредоносной версии. Изгои-редиректы прекратились в 2022 году по необъяснимым причинам.
Пакет Debian содержит скрипт после установки, который выполняется при его установке для удаления двух файлов ELF, /var/tmp/bs и бэкдора на основе DNS (/var/tmp/crond), который запускает обратную оболочку для сервера command-and-control (C2), который принимается в ответ на DNS-запрос к одному из четырех доменов -
Конечной целью атаки является развертывание вредоносного ПО stealer и сбор конфиденциальных данных из системы. Затем информация о сборе загружается на сервер злоумышленника с помощью двоичного файла uploader, загруженного с сервера C2.
по словам Касперского, crond - это вариант бэкдора, известного как Bew, который находится в обращении с 2013 года, в то время как ранняя версия вредоносного ПО Bash stealer была ранее задокументирована Yoroi в июне 2019 года.
Не сразу понятно, как на самом деле произошла скомпрометация и каковы были конечные цели кампании. Очевидно, что не все, кто скачал программное обеспечение, получили вредоносный пакет, позволяющий ему годами избегать обнаружения.
"Хотя кампания в настоящее время неактивна, этот случай с Free Download Manager демонстрирует, что невооруженным глазом может быть довольно сложно обнаружить текущие кибератаки на компьютеры с Linux", - сказали исследователи.
"Таким образом, важно, чтобы компьютеры с Linux, как настольные, так и серверные, были оснащены надежными и эффективными решениями безопасности".
Способ работы включал в себя создание обратной оболочки для сервера, контролируемого участником, и установку программы для удаления Bash в взломанной системе. Кампания, которая проводилась в период с 2020 по 2022 год, больше не активна.
"Этот злоумышленник собирает такие данные, как системная информация, история посещенных страниц, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)", - сказали исследователи Касперского Георгий Кучерин и Леонид Безвершенко.
Рассматриваемый веб-сайт - freedownloadmanager[.]org, который, по данным российской фирмы по кибербезопасности, предлагает законное программное обеспечение Linux под названием "Free Download Manager", но начиная с января 2020 года начал перенаправлять некоторых пользователей, которые пытались загрузить его на другой домен deb.fdmpkg[.]org, который обслуживал заминированный пакет Debian.
Есть подозрение, что авторы вредоносного ПО спроектировали атаку на основе определенных предопределенных критериев фильтрации (скажем, цифрового отпечатка пальца системы), чтобы выборочно привести потенциальных жертв к вредоносной версии. Изгои-редиректы прекратились в 2022 году по необъяснимым причинам.
Пакет Debian содержит скрипт после установки, который выполняется при его установке для удаления двух файлов ELF, /var/tmp/bs и бэкдора на основе DNS (/var/tmp/crond), который запускает обратную оболочку для сервера command-and-control (C2), который принимается в ответ на DNS-запрос к одному из четырех доменов -
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
Конечной целью атаки является развертывание вредоносного ПО stealer и сбор конфиденциальных данных из системы. Затем информация о сборе загружается на сервер злоумышленника с помощью двоичного файла uploader, загруженного с сервера C2.
по словам Касперского, crond - это вариант бэкдора, известного как Bew, который находится в обращении с 2013 года, в то время как ранняя версия вредоносного ПО Bash stealer была ранее задокументирована Yoroi в июне 2019 года.
Не сразу понятно, как на самом деле произошла скомпрометация и каковы были конечные цели кампании. Очевидно, что не все, кто скачал программное обеспечение, получили вредоносный пакет, позволяющий ему годами избегать обнаружения.
"Хотя кампания в настоящее время неактивна, этот случай с Free Download Manager демонстрирует, что невооруженным глазом может быть довольно сложно обнаружить текущие кибератаки на компьютеры с Linux", - сказали исследователи.
"Таким образом, важно, чтобы компьютеры с Linux, как настольные, так и серверные, были оснащены надежными и эффективными решениями безопасности".
