Free Download Manager godinama je preusmjeravao korisnike Linux na zlonamjerni softver

Free Download Manager Internet stranica je isporučivala korisnicima Linux zlonamjerni softver koji je tajno krao lozinke i druge osjetljive informacije više od tri godine kao dio napada na lanac snabdijevanja.

Free Download Manager godinama je preusmjeravao korisnike Linux na zlonamjerni softver; Source: Bing Image Creator

Free Download Manager zloupotreba

Internet stranica freedownloadmanager[.]org je nudila legitimnu verziju Linux aplikacije poznate kao Free Download Manager. Počevši od 2020. godine, isti domen je povremeno preusmjeravao korisnike na domen deb.fdmpkg[.]org, koji je služio zlonamjernu verziju aplikacije. Verzija dostupna na zlonamjernom domenu sadržala je skriptu koja je preuzimala dvije izvršne datoteke. Skripta je zatim koristila planer zadataka cron da izazove stalno pokretanje datoteke u određenom vremenskom intervalu.

Uz to, uređaji koji su instalirali zlonamjernu verziju Free Download Manager omogućili su napadačima backdoor pristup. Nakon pristupa IP adresi za zlonamjerni domen, backdoor je pokrenuo obrnuto komandno okruženje koje je omogućilo napadačima da daljinski kontrolišu zaraženi uređaj.

“Ovaj kradljivac prikuplja podatke kao što su sistemske informacije, istorija pregledanja, sačuvane lozinke, datoteke novčanika kriptovaluta, kao i akreditive za usluge u oblaku (AVS, Google Cloud, Oracle Cloud Infrastructure, Azure). Nakon prikupljanja informacija sa zaražene mašine, kradljivac preuzima binarni fajl za otpremanje sa C2 servera, čuvajući ga u /var/tmp/atd. Zatim koristi ovu binarnu datoteku za otpremanje rezultata izvršenja kradljivca u infrastrukturu napadača.”

 – Securelist by Kaspersky –

Sumnja se da su autori zlonamjernog softvera osmislili napad na osnovu određenih unaprijed definisanih kriterijuma filtriranja (npr. digitalnog otiska sistema) kako bi selektivno doveli potencijalne žrtve do zlonamjerne verzije. Lažna preusmjeravanja su okončana 2022. godine iz neobjašnjivih razloga. Nije  jasno kako je zapravo došlo do kompromisa Internet stranice i koji su krajnji ciljevi kampanje. Ono što je očigledno je da nisu svi koji su preuzeli softver primili lažni paket, što mu je omogućilo da godinama izbjegne otkrivanje.

Kradljivac podataka

Zlonamjerni Debian paket, koji se koristi za instaliranje softverskih distribucija Linux zasnovanih na Debian-u, uključujući Ubuntu i Ubuntu bazirane verzije, ispušta Bash skriptu za krađu informacija i crond backdoor koji uspostavlja obrnuto komandno okruženje sa C2 serverom.

Crond backdoor komponenta kreira novi cron zadatak na sistemu koji pokreće skriptu za krađu pri pokretanju sistema. Kaspersky  sigurnosni istraživači su otkrili da je ovaj backdoor varijanta Bev zlonamjernog softvera koji je u opticaju od 2013. godine, pri čemu je kradljivac Bash primijećen  i  analiziran 2019. godine što znači da skup zlonamjernih alata nije nov.

Analizirana verzija Bash kradljivca prikuplja informacije o sistemu, istoriju pregledanja, lozinke sačuvane u pregledačima, RMM ključeve za autentifikaciju, istoriju komandnog okruženja, podatke o novčaniku za kriptovalute i akreditive naloga za AVS, Google Cloud, Oracle Cloud Infrastructure i Azure usluge u oblaku. Ovi prikupljeni podaci se zatim šalju na server napadača, gdje se mogu koristiti za sprovođenje daljih napada ili prodati drugim zlonamjernim akterima.

Zaključak

Zlonamjerni softver koji je primijećen u ovoj kampanji poznat je od 2013. godine. Osim toga, ispostavilo se da su implanti prilično bučni, što je pokazalo više postova na društvenim mrežama. Istraživanje je pokazalo da se žrtve ove kampanje nalaze se širom sveta, uključujući Brazil, Kinu, Saudijsku Arabiju i Rusiju. Imajući u vidu ove činjenice, može izgledati paradoksalno da je zlonamjerni paket Free Dovnload Manager ostao neotkriven više od tri godine.

Razlozi koji su uticali na ovo bi mogli biti u tome što je Linux zlonamjerni softver dosta manje posmatran u odnosu na Windows operativne sisteme. Pored toga, nisu svi korisnici inficirani. Neki od korisnika su preuzeli zlonamjernu verziju, dok su drugi po nekom zakonu vjerovatnoće preuzimali potpuno legitimnu verziju. Čak i korisnici koji su imali probleme na svojim uređajima, u svojim žalbama na društvenim mrežama nisu sumnjali da su problemi koje su imali sa Free Download Manager softverom izazvani zlonamjernim softverom.

Iako je kampanja trenutno neaktivna, ovaj slučaj pokazuje da može biti prilično teško otkriti aktivne sajber napade na Linux uređaje golim okom. Stoga je neophodno da Linux uređaji, kako korisnički tako i serverski, budu opremljene pouzdanim i efikasnim bezbjednosnim rješenjima.