Троянизированный менеджер загрузок содержит бэкдор для Linux

security IOC
Опубликовано

Исследователи Kaspersky Lab проанализировали бэкдор для Linux, замаскированный под программу Free Download Manager, которая оставалась незамеченной в течение как минимум трех лет.

Kaspersky Lab обнаружили поддомен ' deb.fdmpkg.org', который утверждает, что на нем размещен репозиторий Debian с программным обеспечением под названием 'Free Download Manager'. Этот скрипт загружает два ELF-файла, а затем устанавливает постоянство, создавая задачу cron, которая запускает исполняемый файл каждые 10 минут.

Этот исполняемый файл является бэкдором и не импортирует никаких функций из внешних библиотек. Используя этот бэкдор, злоумышленники развернули Bash-кражу. Он собирает такие данные, как системная информация, история посещений, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).

Kaspersky Lab проверили официальный сайт Free Download Manager (freedownloadmanager.org). Оказалось, что пакеты, доступные для загрузки с этого сайта, размещены на домене files2.freedownloadmanager.org и не имеют обратной связи. Компания Kaspersky обнаружила в социальных сетях несколько сообщений пользователей, которые были перенаправлены со страницы загрузки легитимного сайта на вредоносный URL, на котором размещена зараженная версия Free Download Manager. Касперский отмечает, что перенаправление на вредоносный домен происходило не во всех случаях.

Таким образом, возможно, разработчики вредоносной программы заскриптовали появление вредоносного перенаправления с определенной степенью вероятности или на основе цифрового отпечатка потенциальной жертвы.

Indicators of Compromise

IPv4

  • 172.111.48.101

Domains

  • 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg.org
  • 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg.org
  • c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg.org
  • c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg.org
  • fdmpkg.org

SHA256

  • 2214c7a0256f07ce7b7aab8f61ef9cbaff10a456c8b9f2a97d8f713abd660349
  • 93358bfb6ee0caced889e94cd82f6f417965087203ca9a5fce8dc7f6e1b8a3ea
  • b77f63f14d0b2bde3f4f62f4323aad87194da11d71c117a487e18ff3f2cd468d
  • d73be6e13732d365412d71791e5eb1096c7bb13d6f7fd533d8c04392ca0b69b5
Похожие записи:
  1. XCore Backdoor IOCs
  2. SessionManager Backdoor IOCs
  3. DTrack Backdoor IOCs
  4. Gopuram Backdoor IOCs
  5. Bvp47 Backdoor IOCs
Backdoor Kaspersky Lab
Добавить комментарий