В deb-пакетах с Free Download Manager найден бэкдор, который оставался незамеченным три года
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
Исследователи из Лаборатории Касперского выявили вредоносный deb-пакет с менеджером загрузок Free Download Manager (FDM), распространяемый через репозиторий deb.fdmpkg.org, на который после взлома ссылался официальный сайт проекта. Вредоносный код, осуществлявший отправку конфиденциальной информации и учётных данных, вызывался через обработчик, запускаемый пакетным менеджером на стадии завершения установки пакета (postinst). Версия FDM с вредоносной вставкой была опубликована в январе 2020 года и распространялась через официальный сайт проекта (freedownloadmanager.org) как минимум до обновления сайта в 2022 году.
Разработчики Free Download Manager сообщили, что начали разбирательство и заявили о принятии мер по усилению защиты инфраструктуры, которые позволят предотвратить подобные инциденты в будущем. Пользователям, устанавливавшим Linux-сборки FDM с 2020 по 2022 год, рекомендовано проверить свои системы на наличие вредоносного ПО и сменить используемые пароли. По предварительным данным, в 2020 году сайт проекта был взломан и атакующие изменили содержимое страницы со ссылкой для загрузки. Оригинальная ссылка была заменена на репозиторий deb.fdmpkg.org, контролируемый атакующими.
В 2022 году уязвимость была неосознанно устранена после проведения обновления сайта. Разработчики FDM считают, что проблема долгое время оставалась незамеченной, так она затронула лишь 0.1% посетителей сайта. Предполагается, что ссылка не вредоносный пакет подставлялась не всем пользователям, а только выборочно в привязке к параметрам браузера/местоположению или в случайном порядке (в копиях страницы загрузки за 2020 и 2021 годы, сохранённых сервисом archive.org, присутствует легитимная ссылка).
Интегрированный в deb-пакет вредоносный код загружал с внешних хостов (поддомены fdmpkg.org), исполняемые файлы
/var/tmp/crond и /var/tmp/bs, после чего настраивал в crontab вызов /var/tmp/crond через каждые 10 минут. Активированный вредоносный код производил поиск и накопление информации о системе, истории посещений в браузере, файлов с кошельками криптовалют и учётных данных для подключения к облачным сервисам AWS, Google Cloud, Oracle Cloud Infrastructure и Azure. IP-адрес и сетевой порт управляющего сервера определяются через резовинг в DNS имени "20-байтовая-шестнадцатеричная-строка.u.fdmpkg.org", после чего в режиме Reverse Shell осуществлялось создание канала связи с сервером злоумышленников.
Вредоносный код был найден после изучения атаки, в который фигурировали подозрительные хосты *.u.fdmpkg.org. Изучение домена
fdmpkg.org показало, что у него имеется поддомен deb.fdmpkg.org, обслуживающий репозиторий deb-пакетов, в котором размещён вредоносный пакет со старой версией Free Download Manager. Проанализировав упоминания deb.fdmpkg.org в открытых источниках исследователи нашли на StackOverflow и Reddit несколько обсуждений проблем, возникавших из-за использования зараженной версии Free Download Manager. Связь с официальным сайтом была выявлена после того, как на YouTube был найден ролик с инструкцией по установке Free Download Manager, в котором прослеживалась загрузка пакета из репозитория deb.fdmpkg.org при нажатии на ссылку "Download" на официальном сайте проекта.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.freedownloadmanage...)
- OpenNews: В UEFI-прошивках материнских плат Gigabyte выявлена активность, напоминающая бэкдор
- OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
- OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
- OpenNews: В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root
- OpenNews: На GitHub выявлено 73 репозитория с бэкдорами
Похожие новости:
- В UEFI-прошивках материнских плат Gigabyte выявлена активность, напоминающая бэкдор
- Уязвимость в коммутаторах Cisco Catalyst PON, позволяющая войти через telnet без знания пароля
- Атака Trojan Source для внедрения изменений в код, незаметных для разработчика
- RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd
- Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
- [Информационная безопасность, PHP] Пресечена попытка встроить бэкдор в репозиторий PHP
- Бэкдор в маршрутизаторах FiberHome
- Бэкдор в межсетевых экранах и точках доступа Zyxel
- В репозитории NPM выявлен вредоносный пакет twilio-npm
- [Информационная безопасность] Чуть сложнее, чем кажется: как атакует группировка TinyScouts
Теги для поиска: #_backdoor, #_trojan
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 00:08
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
|
Исследователи из Лаборатории Касперского выявили вредоносный deb-пакет с менеджером загрузок Free Download Manager (FDM), распространяемый через репозиторий deb.fdmpkg.org, на который после взлома ссылался официальный сайт проекта. Вредоносный код, осуществлявший отправку конфиденциальной информации и учётных данных, вызывался через обработчик, запускаемый пакетным менеджером на стадии завершения установки пакета (postinst). Версия FDM с вредоносной вставкой была опубликована в январе 2020 года и распространялась через официальный сайт проекта (freedownloadmanager.org) как минимум до обновления сайта в 2022 году. Разработчики Free Download Manager сообщили, что начали разбирательство и заявили о принятии мер по усилению защиты инфраструктуры, которые позволят предотвратить подобные инциденты в будущем. Пользователям, устанавливавшим Linux-сборки FDM с 2020 по 2022 год, рекомендовано проверить свои системы на наличие вредоносного ПО и сменить используемые пароли. По предварительным данным, в 2020 году сайт проекта был взломан и атакующие изменили содержимое страницы со ссылкой для загрузки. Оригинальная ссылка была заменена на репозиторий deb.fdmpkg.org, контролируемый атакующими. В 2022 году уязвимость была неосознанно устранена после проведения обновления сайта. Разработчики FDM считают, что проблема долгое время оставалась незамеченной, так она затронула лишь 0.1% посетителей сайта. Предполагается, что ссылка не вредоносный пакет подставлялась не всем пользователям, а только выборочно в привязке к параметрам браузера/местоположению или в случайном порядке (в копиях страницы загрузки за 2020 и 2021 годы, сохранённых сервисом archive.org, присутствует легитимная ссылка). Интегрированный в deb-пакет вредоносный код загружал с внешних хостов (поддомены fdmpkg.org), исполняемые файлы /var/tmp/crond и /var/tmp/bs, после чего настраивал в crontab вызов /var/tmp/crond через каждые 10 минут. Активированный вредоносный код производил поиск и накопление информации о системе, истории посещений в браузере, файлов с кошельками криптовалют и учётных данных для подключения к облачным сервисам AWS, Google Cloud, Oracle Cloud Infrastructure и Azure. IP-адрес и сетевой порт управляющего сервера определяются через резовинг в DNS имени "20-байтовая-шестнадцатеричная-строка.u.fdmpkg.org", после чего в режиме Reverse Shell осуществлялось создание канала связи с сервером злоумышленников. Вредоносный код был найден после изучения атаки, в который фигурировали подозрительные хосты *.u.fdmpkg.org. Изучение домена fdmpkg.org показало, что у него имеется поддомен deb.fdmpkg.org, обслуживающий репозиторий deb-пакетов, в котором размещён вредоносный пакет со старой версией Free Download Manager. Проанализировав упоминания deb.fdmpkg.org в открытых источниках исследователи нашли на StackOverflow и Reddit несколько обсуждений проблем, возникавших из-за использования зараженной версии Free Download Manager. Связь с официальным сайтом была выявлена после того, как на YouTube был найден ролик с инструкцией по установке Free Download Manager, в котором прослеживалась загрузка пакета из репозитория deb.fdmpkg.org при нажатии на ссылку "Download" на официальном сайте проекта. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 00:08
Часовой пояс: UTC + 5