LINUXTALKS.CO

В deb-пакетах с Free Download Manager найден бэкдор, который оставался незамеченным три года

 

L


0

0

Исследователи из Лаборатории Касперского выявили вредоносный deb-пакет с менеджером загрузок Free Download Manager (FDM), распространяемый через репозиторий deb.fdmpkg.org, на который после взлома ссылался официальный сайт проекта. Вредоносный код, осуществлявший отправку конфиденциальной информации и учётных данных, вызывался через обработчик, запускаемый пакетным менеджером на стадии завершения установки пакета (postinst). Версия FDM с вредоносной вставкой была опубликована в январе 2020 года и распространялась через официальный сайт проекта (freedownloadmanager.org) как минимум до обновления сайта в 2022 году.

Разработчики Free Download Manager сообщили, что начали разбирательство и заявили о принятии мер по усилению защиты инфраструктуры, которые позволят предотвратить подобные инциденты в будущем. Пользователям, устанавливавшим Linux-сборки FDM с 2020 по 2022 год, рекомендовано проверить свои системы на наличие вредоносного ПО и сменить используемые пароли. По предварительным данным, в 2020 году сайт проекта был взломан и атакующие изменили содержимое страницы со ссылкой для загрузки. Оригинальная ссылка была заменена на репозиторий deb.fdmpkg.org, контролируемый атакующими.

В 2022 году уязвимость была неосознанно устранена после проведения обновления сайта. Разработчики FDM считают, что проблема долгое время оставалась незамеченной, так она затронула лишь 0.1% посетителей сайта. Предполагается, что ссылка не вредоносный пакет подставлялась не всем пользователям, а только выборочно в привязке к параметрам браузера/местоположению или в случайном порядке (в копиях страницы загрузки за 2020 и 2021 годы, сохранённых сервисом archive.org, присутствует легитимная ссылка).

Интегрированный в deb-пакет вредоносный код загружал с внешних хостов (поддомены fdmpkg.org), исполняемые файлы /var/tmp/crond и /var/tmp/bs, после чего настраивал в crontab вызов /var/tmp/crond через каждые 10 минут. Активированный вредоносный код производил поиск и накопление информации о системе, истории посещений в браузере, файлов с кошельками криптовалют и учётных данных для подключения к облачным сервисам AWS, Google Cloud, Oracle Cloud Infrastructure и Azure. IP-адрес и сетевой порт управляющего сервера определяются через резовинг в DNS имени "20-байтовая-шестнадцатеричная-строка.u.fdmpkg.org", после чего в режиме Reverse Shell осуществлялось создание канала связи с сервером злоумышленников.

Вредоносный код был найден после изучения атаки, в который фигурировали подозрительные хосты *.u.fdmpkg.org. Изучение домена fdmpkg.org показало, что у него имеется поддомен deb.fdmpkg.org, обслуживающий репозиторий deb-пакетов, в котором размещён вредоносный пакет со старой версией Free Download Manager. Проанализировав упоминания deb.fdmpkg.org в открытых источниках исследователи нашли на StackOverflow и Reddit несколько обсуждений проблем, возникавших из-за использования зараженной версии Free Download Manager. Связь с официальным сайтом была выявлена после того, как на YouTube был найден ролик с инструкцией по установке Free Download Manager, в котором прослеживалась загрузка пакета из репозитория deb.fdmpkg.org при нажатии на ссылку "Download" на официальном сайте проекта.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter

>>> Подробности

★★☆☆☆

Поганая проприетарщина

GREAT-DNG    
★★★★★
Android / Firefox

Самая интересная часть новости:

Предполагается, что ссылка не вредоносный пакет подставлялась не всем пользователям, а только выборочно в привязке к параметрам браузера/местоположению или в случайном порядке

torvn77    
★★★
Android / Chrome

Ну, бывает.

tiinn    
★★★★★★
Windows / Firefox
Ответ на: комментарий от odalist

А нефиг сторонние репы подключать.

Ну, это да.

Aleksandra    
★★★★★
Linux / Firefox

Я в последний раз менеджером загрузок пользовался еще на диал-апе. Из «продвинутых загрузчиков» после разве что wget’ом, но и то не часто. Кто сейчас целевая аудитория такого софта, бедолаги на 3g-модемах? Так с них и взять нечего.

sehellion    
★★★★★★★★
Linux / Firefox

Тысячи глаз говорили они

shikata_ga_nai    
★★★★★
Android / Chrome
Ответ на: комментарий от xwicked

Это понятно.
Вопросы в другом:
Какие подсети или ip считались самыми интересными?
Каким браузерам раздавали а каким нет?
В общем кого по всем этим признакам вбирали целью?

torvn77    
★★★
Android / Chrome
Ответ на: комментарий от torvn77

В общем кого по всем этим признакам вбирали целью?

Есть две основные стратегии коммерческой реализации уязвимости нулевого дня.

  1. Широкомасштабное похищение данных. Возможно удаться угнать несколько криптовалютных кошельков, но это мелочь. Главное что бы до массового закрытия уязвимости собрать как можно больше данных. На практике это означает что нужно прописать точные фильтры того какие именно данные похищать. И где то эти данные потом хранить. Потом ещё их обработать и каталогизировать. После слива актуальность данных постепенно падает.

  2. Продажа услуг взлома.

Например не нужно взламывать сам «вконтакт», что бы оказывать услуги по «пробитию через вконтакте» (как любит выражаться ЦА). Достаточно сделать мобильное приложение являющееся альтернативным клиентом, с функциями типа скачивания музыки и сокрытия присутствия. И уже через это приложение его разработчики могут получать доступ к учётным записям пользователей, как заказанных, так и хотя бы их круга общения, для получения косвенной информации.

А дальше задрать цену так что бы слишком часто не пользоваться этой возможностью. И атаковать только тех, кто наверянка не будет устраивать полноценного расследования обнаружив утечку информации. В общем услуга для быдла при бабле.

rezedent12    
★★★★★★
Linux / Chrome
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=90