一个免费下载管理器网站将部分访问者重定向到恶意Debian软件包存储库,该存储库安装了Linux密码窃取器恶意软件,作为广泛、长期供应链攻击的一部分。
令人难以接受的是,一个广受信任的免费软件下载网站在过去三年里一直让毫无戒心的用户遭受信息窃取恶意软件的攻击,而且直到本周才有人发现它。
据网络安全公司卡巴斯基称,恶意供应链攻击在2020年至2022年期间仍然活跃,但直到最近才被其研究人员在调查可疑域时发现。
根据卡巴斯基的博客文章,“freedownloadmanagerorg”网站曾经提供合法的Linux软件“免费下载管理器”。自2020年1月以来,它将用户重定向到包含安装后脚本的恶意Debian软件包后,它开始提供该软件的良性版本。
研究人员指出,该网站将用户重定向到另一个域“deb.fdmpkgorg”,该域托管Debian软件包。该脚本将两个可执行文件下载到/var/tmp/crond和/var/tmp/bs文件路径。
该脚本使用cron作业调度程序强制/var/tmp/crond中的文档以10分钟的间隔重复启动,以便安装了此免费下载管理器诱骗版本的系统永久被后门。供您参考,crond(又名Bew)是2013年发现的后门变体。
然后,攻击者在其拥有的服务器上建立了一个反向shell,并在受感染的系统上安装了Bash窃取程序。Yoroi此前曾于2019年6月分析过该窃取程序。它收集敏感数据,如系统详细信息、浏览历史记录、加密货币钱包文件、保存的密码和云服务凭证,包括AWS、Oracle云基础设施、谷歌云和Azure。
收集这些详细信息后,恶意窃取者会联系C2服务器下载上传程序二进制文件并将其保存到以下路径:/var/tmp/atd。然后,该二进制文件用于将窃取程序执行结果上传到恶意软件运营商的基础设施。
“根据连接类型,通信协议是SSL或TCP。对于SSL,crond后门会启动/var/tmp/bs可执行文件并将所有进一步的通信委托给它。否则,反向shell是由crond后门本身创建的,”报告写道。
尽管如此,Free Download Manager团队已向用户道歉,并承诺实施更好的安全措施。它还敦促用户扫描系统并更改密码。
“如果您是在上述时间范围内尝试从我们受感染页面下载FDM for Linux的用户之一,我们强烈建议您对系统进行恶意软件扫描并更新密码,作为预防措施。”
值得庆幸的是,该活动不再有效。该活动的最终目标仍在调查中。然而,一个有趣的发现问题是并非所有下载Free Download Manager的用户都收到了恶意软件包。也许这就是该活动为何长期未被发现的原因。这凸显了通过有效、可靠的安全解决方案来保护Linux桌面和服务器设备的需求日益增长。
评论已关闭。