Pachetul Debian Free Download Manager infectat cu malware

Într-o dezvăluire alarmantă făcută de Securelist.com pentru utilizatorii de Linux, s-a descoperit că un pachet Debian asociat cu popularul „Free Download Manager” a fost infectat cu malware. Acest software malițios, ascuns în pachetul deb, reprezintă o amenințare de securitate semnificativă pentru utilizatorii neștiutori.

În ultimii câțiva ani, mașinile Linux au devenit din ce în ce mai mult o țintă principală pentru diverși autori de pericole cibernetice. În mod șocant, datele de telemetrie ale Securelist arată că, numai în prima jumătate a anului 2023, un număr impresionant de 260.000 de mostre unice de Linux au fost asociate cu malware și alte activități malițioase.

Rădăcina acestei probleme se află într-un depozit Debian legat de domeniul „deb.fdmpkg[.]org.”. La vizitarea acestui domeniu într-un browser web, utilizatorii întâlnesc o pagină web aparent inofensivă. Cu toate acestea, sub această fațadă, se nasc probleme. Acest subdomeniu pretinde că găzduiește un depozit Debian pentru „Free Download Manager”, un software bine-cunoscut și folosit de mulți.

În urma unei investigații mai amănunțite, echipa a descoperit un pachet Debian pentru „Free Download Manager” disponibil pentru descărcare de la adresa URL „https://deb.fdmpkg[.]org/freedownloadmanager.deb”. Acest pachet conținea un script „postinst” infectat, executat în timpul instalării. Acest script depune două fișiere ELF în directoarele „/var/tmp/crond” și „/var/tmp/bs”, stabilind persistența prin intermediul unei sarcini cron stocate în „/etc/cron.d/collect”. Această sarcină lansează fișierul „/var/tmp/crond” la fiecare 10 minute.

Este esențial să rețineți că pachetul infectat datează din 24 ianuarie 2020. Scriptul postinst conține comentarii în rusă și ucraineană, oferind informații despre evoluția malware-ului și motivațiile atacatorilor.

Odată instalat, pachetul dezlănțuie un executabil, „/var/tmp/crond”, care acționează ca un backdoor. Merită menționat faptul că acest executabil nu se bazează pe biblioteci externe, ci invocă syscall-uri cu biblioteca dietlibc legată static pentru a accesa API-ul Linux.

La pornire, backdoor-ul inițiază o cerere DNS pentru un șir de 20 de octeți codificat în hexazeci de caractere la ‘<șir de 20 de octeți codificat în hexazeci de caractere>.u.fdmpkg[.]org.’. Ca răspuns, acesta primește două adrese IP, dezvăluind adresa și portul unui server secundar de comandă și control (C2). Acest protocol de comunicare nefast poate fi fie SSL, fie TCP, în funcție de tipul de conexiune. În cazul în care se utilizează SSL, „/var/tmp/bs” este lansat pentru comunicări ulterioare; în caz contrar, backdoor-ul crond creează el însuși un reverse shell.

Aprofundând mai mult tacticile atacatorului, echipa a descoperit, de asemenea, că backdoor-ul crond generează un reverse shell. Acest furt insidios colectează o serie de date sensibile, inclusiv informații de sistem, istoric de navigare, parole salvate, fișiere de portofele de criptomonede și credențiale pentru servicii cloud precum AWS, Google Cloud, Oracle Cloud Infrastructure și Azure.

Ulterior, stealerul descarcă un binar uploader de pe serverul C2, pe care îl stochează în „/var/tmp/atd.” Acest binar este apoi utilizat pentru a transmite datele furate către infrastructura atacatorilor, finalizând operațiunea lor sinistră.

În mod surprinzător, site-ul oficial pare să nu găzduiască malware-ul; utilizatorii Linux selectați aleatoriu sunt redirecționați către fișierul deb compromis. Există câteva postări găsite pe Reddit și StackOverflow în care utilizatorii au raportat un comportament suspect al Free Download Manager între 2020 și 2022.

Via: debugpointnews.com

Poți ajuta distribuind sau recomandând acest articol.

Tradus și adaptat cu www.DeepL.com/Translator (free version)