Исследователи из Лаборатории Касперского выявили вредоносный deb-пакет с менеджером загрузок Free Download Manager (FDM), распространяемый через репозиторий deb.fdmpkg.org, на который после взлома ссылался официальный сайт проекта. Вредоносный код, осуществлявший отправку конфиденциальной информации и учётных данных, вызывался через обработчик, запускаемый пакетным менеджером на стадии завершения установки пакета (postinst). Версия FDM с вредоносной вставкой была опубликована в январе 2020 года и распространялась через официальный сайт проекта (freedownloadmanager.org) как минимум до обновления сайта в 2022 году.
Разработчики Free Download Manager сообщили, что начали разбирательство и заявили о принятии мер по усилению защиты инфраструктуры, которые позволят предотвратить подобные инциденты в будущем. Пользователям, устанавливавшим Linux-сборки FDM с 2020 по 2022 год, рекомендовано проверить свои системы на наличие вредоносного ПО и сменить используемые пароли. По предварительным данным, в 2020 году сайт проекта был взломан и атакующие изменили содержимое страницы со ссылкой для загрузки. Оригинальная ссылка была заменена на репозиторий deb.fdmpkg.org, контролируемый атакующими.
В 2022 году уязвимость была неосознанно устранена после проведения обновления сайта. Разработчики FDM считают, что проблема долгое время оставалась незамеченной, так она затронула лишь 0.1% посетителей сайта. Предполагается, что ссылка не вредоносный пакет подставлялась не всем пользователям, а только выборочно в привязке к параметрам браузера/местоположению или в случайном порядке (в копиях страницы загрузки за 2020 и 2021 годы, сохранённых сервисом archive.org, присутствует легитимная ссылка).
Интегрированный в deb-пакет вредоносный код загружал с внешних хостов (поддомены fdmpkg.org), исполняемые файлы /var/tmp/crond и /var/tmp/bs, после чего настраивал в crontab вызов /var/tmp/crond через каждые 10 минут. Активированный вредоносный код производил поиск и накопление информации о системе, истории посещений в браузере, файлов с кошельками криптовалют и учётных данных для подключения к облачным сервисам AWS, Google Cloud, Oracle Cloud Infrastructure и Azure. IP-адрес и сетевой порт управляющего сервера определяются через резовинг в DNS имени "20-байтовая-шестнадцатеричная-строка.u.fdmpkg.org", после чего в режиме Reverse Shell осуществлялось создание канала связи с сервером злоумышленников.
Вредоносный код был найден после изучения атаки, в который фигурировали подозрительные хосты *.u.fdmpkg.org. Изучение домена fdmpkg.org показало, что у него имеется поддомен deb.fdmpkg.org, обслуживающий репозиторий deb-пакетов, в котором размещён вредоносный пакет со старой версией Free Download Manager. Проанализировав упоминания deb.fdmpkg.org в открытых источниках исследователи нашли на StackOverflow и Reddit несколько обсуждений проблем, возникавших из-за использования зараженной версии Free Download Manager. Связь с официальным сайтом была выявлена после того, как на YouTube был найден ролик с инструкцией по установке Free Download Manager, в котором прослеживалась загрузка пакета из репозитория deb.fdmpkg.org при нажатии на ссылку "Download" на официальном сайте проекта.
// cc-by opennet.ru
// converted with crypt’s opennet autoreposter
>>> Подробности