Бэкдор в Free Download Manager: Опасность для пользователей Linux

2023-09-13 3033 комментарии
Менеджер загрузок Free Download Manager для Linux содержал вредоносный код (бэкдор) и распространялся через официальный сайт, который был скомпрометирован. Рекомендуется удаление и проверка системы

Обновлено: 16.09.2023. Команда Free Download Manager (FDM) опубликовала официальное заявление.

Дата: 13 сентября 2023 года

Суть проблемы: Команда Free Download Manager узнала о прошлом инциденте с безопасностью в 2020 году благодаря данным от Kaspersky Lab. Оказалось, что украинская хакерская группа взломала конкретную страницу на сайте, используя ее для распространения вредоносного ПО. Это коснулось небольшого числа пользователей, которые пытались скачать FDM для Linux между 2020 и 2022 годами. Меньше 0,1% посетителей сайта столкнулись с этой проблемой.

Действия команды: После обнаружения этой проблемы было начато тщательное расследование. Команда усиливает свои защитные меры, чтобы предотвратить подобные уязвимости в будущем.

Рекомендации для пользователей: Если вы пытались скачать FDM для Linux с этой страницы в указанный период, рекомендуется провести проверку на наличие вредоносного ПО и обновить свои пароли.

Проблемы с коммуникацией: Была обнаружена проблема с одной из контактных форм, которая, возможно, мешала своевременной коммуникации. Если вы пытались связаться с командой по этому или связанному вопросу и не получили ответа, пожалуйста, свяжитесь снова.

Обновление: Расследование показало, что хакеры использовали уязвимость в скрипте на сайте для внедрения вредоносного файла. Этот файл изменял страницу загрузки для Linux, предоставляя пользователям либо правильную ссылку для скачивания, либо ссылку на поддельный домен с вредоносным файлом. При этом был создан "список исключений" из IP-адресов, включая адреса, связанные с Bing и Google. Посетители с этими IP-адресами всегда получали правильную ссылку для скачивания.

Команда Free Download Manager приносит свои извинения за произошедшее и просит пользователей, которые скачивали FDM для Linux в 2020-2022 годах, проверить свои компьютеры на наличие вредоносного ПО.

Free Download Manager (FDM) — это популярный кроссплатформенный менеджер загрузок. Однако недавно возникли опасения относительно его безопасности для пользователей Linux.

Проблема с пакетом для Linux

FDM сам по себе не является вредоносным программным обеспечением. Однако был обнаружен вредоносный пакет для Linux, распространяемый как Free Download Manager. Исследователи безопасности из Kaspersky обнаружили , что этот пакет существовал как минимум два года (2020-2022), и пользователи устанавливали его, не подозревая о его вредоносной природе.

Источник распространения

Вредоносный пакет распространялся через официальный сайт Free Download Manager (freedownloadmanager.org) и другие неофициальные источники до 2022 года. Официальный сайт был скомпрометирован, и пользователи были перенаправлены на скачивание зараженного пакета с другого домена (deb.fdmpkg[.]org).

Описание вредоносного ПО

В отчете Kaspersky этот вредоносный код (бэкдор) описан как "bash stealer", который собирает данные, такие как информация о системе, история просмотра, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).

Что делать?

Если вы не помните или не можете проверить источник вашей загрузки, следует удалить менеджер загрузок. Также рекомендуется ознакомиться с исследовательским отчетом Kaspersky, чтобы проверить индикаторы компрометации:

File checksums
b77f63f14d0b2bde3f4f62f4323aad87194da11d71c117a487e18ff3f2cd468d (Malicious Debian Package)
2214c7a0256f07ce7b7aab8f61ef9cbaff10a456c8b9f2a97d8f713abd660349 (crond backdoor) 
93358bfb6ee0caced889e94cd82f6f417965087203ca9a5fce8dc7f6e1b8a3ea (bs backdoor)
d73be6e13732d365412d71791e5eb1096c7bb13d6f7fd533d8c04392ca0b69b5 (atd uploader)

File paths
/etc/cron.d/collect
/var/tmp/crond
/var/tmp/bs
/var/tmp/atd

Network indicators
fdmpkg[.]org
172.111.48[.]101

Если на вашей системе есть те же пути к файлам, и контрольная сумма вредоносного пакета Debian совпадает, вам следует избавиться от них вручную. Если вы хотите снова скачать его, следует проверить URL загрузки перед установкой пакета на вашу систему Linux.

Скрипт для проверки наличия вредоносных программ в вашей системе

Обновлено: Разработчики подготовили bash-скрипт, который вы можете использовать для проверки наличия вредоносных программ в вашей системе.

Инструкции по запуску

  • Скачайте скрипт с именем linux_malware_check.sh и предоставьте ему права на выполнение. Это можно сделать, запустив следующую команду:
chmod +x linux_malware_check.sh
  • Запустите скрипт командой:

./linux_malware_check.sh

Обратите внимание, что этот скрипт только определяет наличие упомянутых потенциальных угроз на вашем компьютере, он не удаляет их. Если обнаружена вредоносная программа, настоятельно рекомендуется переустановить систему.

© . По материалам It's FOSS
Комментарии и отзывы

Нашли ошибку?

Новое на сайте