{"id":5441,"date":"2023-09-19T22:24:24","date_gmt":"2023-09-19T20:24:24","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5441"},"modified":"2023-09-19T22:24:24","modified_gmt":"2023-09-19T20:24:24","slug":"free-download-manager-godinama-je-preusmjeravao-korisnike-linux-na-zlonamjerni-softver","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/09\/19\/free-download-manager-godinama-je-preusmjeravao-korisnike-linux-na-zlonamjerni-softver\/","title":{"rendered":"Free Download Manager godinama je preusmjeravao korisnike Linux na zlonamjerni softver"},"content":{"rendered":"

Free Download Manager<\/em> Internet stranica je isporu\u010divala korisnicima Linux<\/em> zlonamjerni softver<\/a> koji je tajno krao lozinke<\/a> i druge osjetljive informacije vi\u0161e od tri godine kao dio napada na lanac snabdijevanja.<\/span><\/p>\n

\"Free

Free Download Manager godinama je preusmjeravao korisnike Linux na zlonamjerni softver; Source: Bing Image Creator<\/em><\/p><\/div>\n

Free Download Manager<\/em> zloupotreba<\/strong><\/span><\/p>\n

Internet stranica freedownloadmanager[.]org<\/em> je nudila legitimnu verziju Linux<\/em> aplikacije poznate kao Free Download Manager<\/em>. Po\u010dev\u0161i od 2020. godine, isti domen je povremeno preusmjeravao korisnike na domen deb.fdmpkg[.]org<\/em>, koji je slu\u017eio zlonamjernu verziju aplikacije. Verzija dostupna na zlonamjernom domenu sadr\u017eala je skriptu koja je preuzimala dvije izvr\u0161ne datoteke. Skripta je zatim koristila planer zadataka cron<\/em> da izazove stalno pokretanje datoteke u odre\u0111enom vremenskom intervalu.<\/span><\/p>\n

Uz to, ure\u0111aji koji su instalirali zlonamjernu verziju Free Download Manager<\/em> omogu\u0107ili su napada\u010dima backdoor<\/em> <\/a>pristup. Nakon pristupa IP<\/em> adresi za zlonamjerni domen, backdoor<\/em> je pokrenuo obrnuto komandno okru\u017eenje koje je omogu\u0107ilo napada\u010dima da daljinski kontroli\u0161u zara\u017eeni ure\u0111aj.<\/span><\/p>\n

 <\/p>\n

\u201cOvaj kradljivac prikuplja podatke kao \u0161to su sistemske informacije, istorija pregledanja, sa\u010duvane lozinke, datoteke nov\u010danika kriptovaluta, kao i akreditive za usluge u oblaku (AVS, Google Cloud, Oracle Cloud Infrastructure, Azure). Nakon prikupljanja informacija sa zara\u017eene ma\u0161ine, kradljivac preuzima binarni fajl za otpremanje sa C2 servera, \u010duvaju\u0107i ga u \/var\/tmp\/atd. Zatim koristi ovu binarnu datoteku za otpremanje rezultata izvr\u0161enja kradljivca u infrastrukturu napada\u010da.\u201d<\/em><\/span><\/p>\n

\u00a0<\/em><\/span>– <\/em>Securelist by Kaspersky<\/em><\/a> –<\/em><\/span><\/p>\n<\/blockquote>\n

 <\/p>\n

Sumnja se da su autori zlonamjernog softvera<\/a> osmislili napad na osnovu odre\u0111enih unaprijed definisanih kriterijuma filtriranja (npr. digitalnog otiska sistema) kako bi selektivno doveli potencijalne \u017ertve do zlonamjerne verzije. La\u017ena preusmjeravanja su okon\u010dana 2022. godine iz neobja\u0161njivih razloga. Nije\u00a0 jasno kako je zapravo do\u0161lo do kompromisa Internet stranice i koji su krajnji ciljevi kampanje. Ono \u0161to je o\u010digledno je da nisu svi koji su preuzeli softver primili la\u017eni paket, \u0161to mu je omogu\u0107ilo da godinama izbjegne otkrivanje.<\/span><\/p>\n

 <\/p>\n

Kradljivac podataka<\/strong><\/span><\/p>\n

Zlonamjerni Debian<\/em> paket, koji se koristi za instaliranje softverskih distribucija Linux<\/em> zasnovanih na Debian<\/em>-u, uklju\u010duju\u0107i Ubuntu<\/em> i Ubuntu<\/em> bazirane verzije, ispu\u0161ta Bash<\/em> skriptu za kra\u0111u informacija i crond<\/em> backdoor<\/em> koji uspostavlja obrnuto komandno okru\u017eenje sa C2<\/em> serverom.<\/span><\/p>\n

Crond<\/em> backdoor<\/em> komponenta kreira novi cron<\/em> zadatak na sistemu koji pokrec\u0301e skriptu za kra\u0111u pri pokretanju sistema. Kaspersky<\/em>\u00a0 sigurnosni istra\u017eiva\u010di su otkrili da je ovaj backdoor <\/em>varijanta Bev<\/em> zlonamjernog softvera koji je u opticaju od 2013. godine, pri \u010demu je kradljivac Bash<\/em> primije\u0107en\u00a0 i\u00a0 analiziran 2019. godine \u0161to zna\u010di da skup zlonamjernih alata nije nov.<\/span><\/p>\n

Analizirana verzija Bash<\/em> kradljivca prikuplja informacije o sistemu, istoriju pregledanja, lozinke sa\u010duvane u pregleda\u010dima, RMM<\/em> klju\u010deve za autentifikaciju, istoriju komandnog okru\u017eenja, podatke o nov\u010daniku za kriptovalute i akreditive naloga za AVS<\/em>, Google<\/em> Cloud<\/em>, Oracle<\/em> Cloud<\/em> Infrastructure<\/em> i Azure<\/em> usluge u oblaku. Ovi prikupljeni podaci se zatim \u0161alju na server napada\u010da, gdje se mogu koristiti za sprovo\u0111enje daljih napada ili prodati drugim zlonamjernim akterima.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/p>\n

Zlonamjerni softver koji je primije\u0107en u ovoj kampanji poznat je od 2013. godine. Osim toga, ispostavilo se da su implanti prili\u010dno bu\u010dni, \u0161to je pokazalo vi\u0161e postova na dru\u0161tvenim mre\u017eama. Istra\u017eivanje je pokazalo da se \u017ertve ove kampanje nalaze se \u0161irom sveta, uklju\u010duju\u0107i Brazil, Kinu, Saudijsku Arabiju i Rusiju. Imaju\u0107i u vidu ove \u010dinjenice, mo\u017ee izgledati paradoksalno da je zlonamjerni paket Free Dovnload Manager <\/em>ostao neotkriven vi\u0161e od tri godine.<\/span><\/p>\n

Razlozi koji su uticali na ovo bi mogli biti u tome \u0161to je Linux<\/em> zlonamjerni softver dosta manje posmatran u odnosu na Windows<\/em> operativne sisteme. Pored toga, nisu svi korisnici inficirani. Neki od korisnika su preuzeli zlonamjernu verziju, dok su drugi po nekom zakonu vjerovatno\u0107e preuzimali potpuno legitimnu verziju. \u010cak i korisnici koji su imali probleme na svojim ure\u0111ajima, u svojim \u017ealbama na dru\u0161tvenim mre\u017eama nisu sumnjali da su problemi koje su imali sa Free Download Manager<\/em> softverom izazvani zlonamjernim softverom.<\/span><\/p>\n

Iako je kampanja trenutno neaktivna, ovaj slu\u010daj pokazuje da mo\u017ee biti prili\u010dno te\u0161ko otkriti aktivne sajber napade na Linux<\/em> ure\u0111aje golim okom. Stoga je neophodno da Linux<\/em> ure\u0111aji, kako korisni\u010dki tako i serverski, budu opremljene pouzdanim i efikasnim bezbjednosnim rje\u0161enjima.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Free Download Manager Internet stranica je isporu\u010divala korisnicima Linux zlonamjerni softver koji je tajno krao lozinke i druge osjetljive informacije vi\u0161e od tri godine kao dio napada na lanac snabdijevanja. Free Download Manager zloupotreba...<\/p>","protected":false},"author":1,"featured_media":5442,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[142,545,148,141],"class_list":["post-5441","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-backdoor","tag-free-download-manager","tag-infostealer","tag-linux"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5441"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5441\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5442"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}