Исследователи Kaspersky Lab проанализировали бэкдор для Linux, замаскированный под программу Free Download Manager, которая оставалась незамеченной в течение как минимум трех лет.
Kaspersky Lab обнаружили поддомен ' deb.fdmpkg.org', который утверждает, что на нем размещен репозиторий Debian с программным обеспечением под названием 'Free Download Manager'. Этот скрипт загружает два ELF-файла, а затем устанавливает постоянство, создавая задачу cron, которая запускает исполняемый файл каждые 10 минут.
Этот исполняемый файл является бэкдором и не импортирует никаких функций из внешних библиотек. Используя этот бэкдор, злоумышленники развернули Bash-кражу. Он собирает такие данные, как системная информация, история посещений, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).
Kaspersky Lab проверили официальный сайт Free Download Manager (freedownloadmanager.org). Оказалось, что пакеты, доступные для загрузки с этого сайта, размещены на домене files2.freedownloadmanager.org и не имеют обратной связи. Компания Kaspersky обнаружила в социальных сетях несколько сообщений пользователей, которые были перенаправлены со страницы загрузки легитимного сайта на вредоносный URL, на котором размещена зараженная версия Free Download Manager. Касперский отмечает, что перенаправление на вредоносный домен происходило не во всех случаях.
Таким образом, возможно, разработчики вредоносной программы заскриптовали появление вредоносного перенаправления с определенной степенью вероятности или на основе цифрового отпечатка потенциальной жертвы.
Indicators of Compromise
IPv4
- 172.111.48.101
Domains
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg.org
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg.org
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg.org
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg.org
- fdmpkg.org
SHA256
- 2214c7a0256f07ce7b7aab8f61ef9cbaff10a456c8b9f2a97d8f713abd660349
- 93358bfb6ee0caced889e94cd82f6f417965087203ca9a5fce8dc7f6e1b8a3ea
- b77f63f14d0b2bde3f4f62f4323aad87194da11d71c117a487e18ff3f2cd468d
- d73be6e13732d365412d71791e5eb1096c7bb13d6f7fd533d8c04392ca0b69b5