Поделиться
Знаменитый Free Download Manager три года использовали для заражения Linux
Эксперты «Лаборатории Касперского» выявили скрытную кампанию, которая с 2020 г. подсовывала пользователям Linux вредоносные программы внутри пакета под Debian.
Менеджер загрузок с сюрпризом
«Лаборатория Касперского» выявила вредоносную кампанию, нацеленную на системы под управлением Linux; для распространения вредоносного ПО используется инструмент Free Download Manager, чей официальный сайт, по-видимому, был скомпрометирован хакерами.
Free Download Manager - это популярная программа, предназначенная для управления множественными загрузками файлов под Windows, macOS, Linux и Android.
В прошлом это было свободное ПО с открытым исходным кодом, но с версии 5.0 программа стала полностью проприетарной.
До 2021 г. с помощью Free Download Manager можно было скачивать видеоролики с Youtube, но впоследствии эта функция была отключена по требованию Google.
Как в Securelist написали эксперты «Лаборатории», некоторое время назад они принялись изучать серию подозрительных доменов, чьи названия, состоявшие из набора случайных символов, выглядели «крайне подозрительно».
«Они похожи на те, что используются зловредами, генерирующими доменные имена для общения с командным сервером. Поэтому мы решили подробнее изучить домен fdmpkg[.]org», - отметили авторы публикации.
В поддомене, пишут они, был размещён репозиторий программы Free Download Manager под дистрибутив Debian Linux. Случайно попавшим на эту страницу предлагалось скачать его с «главного сайта» (по-видимому, речь шла о головной странице Free Download Manager).
«Мы также нашли Debian-пакет этой программы, доступный для загрузки с URL-адреса https://deb.fdmpkg[.]org/freedownloadmanager.deb. Пакет содержит зараженный скрипт postinst, который выполняется после установки», - говорится в публикации.
Крепко засел, клещами не вытянуть
Скрипт закрепляется в системе, записывая два ELF-файла - в каталоги /var/tmp/crond и /var/tmp/bs и создавая в системе cron-задачу, которая запускает файл /var/tmp/crond каждые 10 минут, и сохраняет ее в файле /etc/cron.d/collect.
Файл var/tmp/crond - это как раз бэкдор и есть. Он самодостаточен: никаких функций из внешних библиотек он не импортирует. По-видимому, это должно дополнительно работать на скрытность.
После запуска бэкдор отправляет DNS-запрос к одному из вышеупомянутых подозрительных доменов, размещённых внутри fdmpkg[.]org, и получает два IP-адреса, в которых закодированы адрес и порт вторичного контрольного сервера. Затем бэкдор запускает ревес-шелл, используя для коммуникации вторичный командный сервер.
«В зависимости от типа подключения применяется протокол передачи данных SSL или TCP. Если выбран протокол SSL, бэкдор crond запускает исполняемый файл /var/tmp/bs и делегирует ему все последующие коммуникации. В противном случае реверс-шелл создает сам бэкдор crond», - говорится в публикации в Securelist.
Кроме бэкдора устанавливается Bash-скрипт, крадущий данные, такие как информация о системе, история браузера, пароли, сохранённые в браузер, ключи авторизации RMM, история шеллов, данные криптокошелькв и реквизиты доступа к AWS, Google Cloud, Oracle Cloud Infrastructure и облачным сервисам Azure.
Все сохранённые данные переправляются затем на сервер злоумышленников.
Как отмечается в публикации, и бэкдор, и запускаемый им инфостилер представляют собой разновидности очень старых программ. Бэкдор представляет собой обновлённый вариант вредоноса Bew, впервые замеченного в 2013 г. (то есть, 10 лет назад). А Bash-скрипт экспертам известен с 2019 г.
Несмотря на это кампания долгое время оставалась незамеченной.
Критерии противоестественного отбора
Вредоносные перенаправления происходят далеко не всегда: по-видимому, скрипты, подгруженные на сайт Free Download Manager, атакуют пользователей по каким-то заданным критериям. На данный момент, однако, эти критерии неизвестны.
Сотрудники «Лаборатории Касперского» утверждают, что видели множество постов в социальных сетях, на Reddit, StackOverflow, YouTube и UnixStack Exchange со ссылками на вышеуказаннный вредоносный домен, выдаваемый за надёжный и безопасный источник Free Download Manager.
На официальном сайте программы до сих пор висит пользовательский пост, датированный 2021 г., где столкнувшийся с заражением пользователь упоминает домен fdmpkg[.]org; дескать, даже после удаления FDM из системы, она продолжает пытаться соединиться с одним из вредоносных доменов.
Администратор блога FDM отвечает, что fdmpkg[.]org не имеет отношения к проекту и вообще неизвестен и что пользователям стоит использовать только официальные версии FDM.
На тех же сайтах пользователи неоднократно обсуждали проблемы, возникающие с Free Download Manager, возникающие в течение последних трёх лет, а также появление подозрительных файлов и задач Cron, - но никто не предположил, что речь идёт о заражении вредоносом.
«Это, вероятнее всего, связано с устойчивым представлением о Linux как о безопасной среде, в которой вредоносные программы - исключительная редкость, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Увы, это представление давно устарело и не имеет никакого отношения к текущей действительности. Под Linux можно встретить самые разнообразные вредоносы, и они подчас куда опаснее, чем те, которые атакуют другие операционные системы. Как видим, даже старые вредоносы при умелом использовании могут оказываться очень эффективными».
Эксперты отметили, что версия Free Download Manager, которую устанавливает зараженный пакет, датирована 24 января 2020 г.
«При этом в скрипте postinst присутствуют комментарии на русском и украинском языках с информацией об изменениях в новых версиях вредоносной программы и заявлениями активистского характера. В этих комментариях также указаны даты: 20200126 (26 января 2020 г.) и 20200127 (27 января 2020 г.)», - пишут аналитики.
Таким образом, кампания длилась, скорее всего, уже с 2020 г. Перенаправления на вредоносный домен прекратились в 2022 г., утверждается в публикации «Лаборатории».
Короткая ссылка
