Исследователи из Лаборатории Касперского выявили вредоносный deb-пакет с менеджером загрузок Free Download Manager (FDM), распространяемый через репозиторий deb.fdmpkg.org, на который после взлома ссылался официальный сайт проекта. Вредоносный код, осуществлявший отправку конфиденциальной информации и учётных данных, вызывался через обработчик, запускаемый пакетным менеджером на стадии завершения установки пакета (postinst). Версия FDM с вредоносной вставкой была опубликована в январе 2020 года и распространялась через официальный сайт проекта (freedownloadmanager.org) как минимум до обновления сайта в 2022 году.

Разработчики Free Download Manager сообщили, что начали разбирательство и заявили о принятии мер по усилению защиты инфраструктуры, которые позволят предотвратить подобные инциденты в будущем. Пользователям, устанавливавшим Linux-сборки FDM с 2020 по 2022 год, рекомендовано проверить свои системы на наличие вредоносного ПО и сменить используемые пароли. По предварительным данным, в 2020 году сайт проекта был взломан и атакующие изменили содержимое страницы со ссылкой для загрузки. Оригинальная ссылка была заменена на репозиторий deb.fdmpkg.org, контролируемый атакующими.

В 2022 году уязвимость была неосознанно устранена после проведения обновления сайта. Разработчики FDM считают, что проблема долгое время оставалась незамеченной, так она затронула лишь 0.1% посетителей сайта. Предполагается, что ссылка не вредоносный пакет подставлялась не всем пользователям, а только выборочно в привязке к параметрам браузера/местоположению или в случайном порядке (в копиях страницы загрузки за 2020 и 2021 годы, сохранённых сервисом archive.org, присутствует легитимная ссылка).

Интегрированный в deb-пакет вредоносный код загружал с внешних хостов (поддомены fdmpkg.org), исполняемые файлы /var/tmp/crond и /var/tmp/bs, после чего настраивал в crontab вызов /var/tmp/crond через каждые 10 минут. Активированный вредоносный код производил поиск и накопление информации о системе, истории посещений в браузере, файлов с кошельками криптовалют и учётных данных для подключения к облачным сервисам AWS, Google Cloud, Oracle Cloud Infrastructure и Azure. IP-адрес и сетевой порт управляющего сервера определяются через резовинг в DNS имени "20-байтовая-шестнадцатеричная-строка.u.fdmpkg.org", после чего в режиме Reverse Shell осуществлялось создание канала связи с сервером злоумышленников.

Вредоносный код был найден после изучения атаки, в который фигурировали подозрительные хосты *.u.fdmpkg.org. Изучение домена fdmpkg.org показало, что у него имеется поддомен deb.fdmpkg.org, обслуживающий репозиторий deb-пакетов, в котором размещён вредоносный пакет со старой версией Free Download Manager. Проанализировав упоминания deb.fdmpkg.org в открытых источниках исследователи нашли на StackOverflow и Reddit несколько обсуждений проблем, возникавших из-за использования зараженной версии Free Download Manager. Связь с официальным сайтом была выявлена после того, как на YouTube был найден ролик с инструкцией по установке Free Download Manager, в котором прослеживалась загрузка пакета из репозитория deb.fdmpkg.org при нажатии на ссылку "Download" на официальном сайте проекта.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter <<<

  • torvn77
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    Самая интересная часть новости:

    Предполагается, что ссылка не вредоносный пакет подставлялась не всем пользователям, а только выборочно в привязке к параметрам браузера/местоположению или в случайном порядке

    • xwicked
      link
      fedilink
      arrow-up
      0
      ·
      3 years ago

      Шобы не сразу спалили, очевидно же.

      • torvn77
        link
        fedilink
        arrow-up
        0
        ·
        3 years ago

        Это понятно.
        Вопросы в другом:
        Какие подсети или ip считались самыми интересными?
        Каким браузерам раздавали а каким нет?
        В общем кого по всем этим признакам вбирали целью?

        • rezedent12
          link
          fedilink
          arrow-up
          0
          ·
          3 years ago

          В общем кого по всем этим признакам вбирали целью?

          Есть две основные стратегии коммерческой реализации уязвимости нулевого дня.

          1. Широкомасштабное похищение данных. Возможно удаться угнать несколько криптовалютных кошельков, но это мелочь. Главное что бы до массового закрытия уязвимости собрать как можно больше данных. На практике это означает что нужно прописать точные фильтры того какие именно данные похищать. И где то эти данные потом хранить. Потом ещё их обработать и каталогизировать. После слива актуальность данных постепенно падает.

          2. Продажа услуг взлома.

          Например не нужно взламывать сам “вконтакт”, что бы оказывать услуги по “пробитию через вконтакте” (как любит выражаться ЦА). Достаточно сделать мобильное приложение являющееся альтернативным клиентом, с функциями типа скачивания музыки и сокрытия присутствия. И уже через это приложение его разработчики могут получать доступ к учётным записям пользователей, как заказанных, так и хотя бы их круга общения, для получения косвенной информации.

          А дальше задрать цену так что бы слишком часто не пользоваться этой возможностью. И атаковать только тех, кто наверянка не будет устраивать полноценного расследования обнаружив утечку информации. В общем услуга для быдла при бабле.

  • sehellion
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    Я в последний раз менеджером загрузок пользовался еще на диал-апе. Из “продвинутых загрузчиков” после разве что wget’ом, но и то не часто. Кто сейчас целевая аудитория такого софта, бедолаги на 3g-модемах? Так с них и взять нечего.