多年来免费下载管理器网站将Linux用户重定向到恶意软件

多年来免费下载管理器网站将Linux用户重定向到恶意软件

据报道,免费下载管理器供应链攻击将 Linux 用户重定向到安装了窃取信息的恶意软件的恶意 Debian 软件包存储库。

此活动中使用的恶意软件会建立一个反向外壳到C2服务器,并安装一个收集用户数据和帐户凭据的Bash窃取程序。

卡巴斯基在调查可疑域名时发现了潜在的供应链妥协案件,发现该活动已经进行了三年多。

尽管网络安全公司已通知软件供应商,但尚未收到回复,因此妥协的确切手段仍然模糊不清。

BleepingComputer也联系了免费下载管理器的供应商以征求意见,但仍在发布时尚未收到回复。

直接下载和重定向

卡巴斯基表示,托管在“freedownloadmanager”上的官方下载页面。org“有时会将那些试图下载Linux版本的人重定向到恶意域”deb.fdmpkg[.]org“,它托管了一个恶意的 Debian 软件包。

由于此重定向仅在某些情况下发生,而不是在所有尝试从官方网站下载的情况下发生,因此假设脚本根据特定但未知的条件针对恶意下载的用户。

多年来免费下载管理器网站将Linux用户重定向到恶意软件

在YouTube安装教程(BleepingComputer)中捕获的重定向

卡巴斯基在社交媒体,Reddit,StackOverflow,YouTube和Unix Stack Exchange上观察到各种帖子,其中恶意域作为获取免费下载管理器工具的可靠来源进行传播。

此外,2021 年官方免费下载管理器网站上的一篇文章说明了受感染的用户如何指出恶意的“fdmpkg.org”域,并被告知它与官方项目无关。

在同一网站上,用户讨论了过去三年中该软件的问题,就可疑文件和它创建的cron作业交换了意见,没有人意识到他们感染了恶意软件。

虽然卡巴斯基表示重定向在 2022 年停止,但旧的 YouTube 视频 [ 1, 2] 清楚地显示了官方免费下载管理器上的下载链接,将一些用户重定向到恶意 http://deb.fdmpkg[。组织网址而不是 freedownloadmanager.org。

但是,此重定向并非适用于所有人,大约在同一时间的另一个视频显示用户从官方URL下载程序。

部署窃取信息的恶意软件

恶意的 Debian 软件包,用于安装基于 Debian 的软件 Linux 发行版,包括基于 Ubuntu 和 Ubuntu 的分支,丢弃一个 Bash 信息窃取脚本和一个从 C2 服务器建立反向 shell 的 crond 后门。

crond 组件在系统上创建一个新的 cron 作业,该作业在系统启动时运行窃取程序脚本。

卡巴斯基发现,crond 后门是自 2013 年以来流行的“Bew”恶意软件的变种,Bash 窃取者在野外被发现,并于 2019 年首次进行分析。也就是说,该工具集并不新颖。

卡巴斯基分析的 Bash 窃取程序版本收集系统信息、浏览历史记录、保存在浏览器上的密码、RMM 身份验证密钥、shell 历史记录、加密货币钱包数据以及 AWS、谷歌云、Oracle 云基础设施和 Azure 云服务的账户凭证。

多年来免费下载管理器网站将Linux用户重定向到恶意软件

Bash信息窃取恶意软件

然后将收集的数据上传到攻击者的服务器,在那里可用于进行进一步的攻击或出售给其他威胁参与者。

如果您在 2020 年至 2022 年之间安装了 Linux 版本的免费下载管理器,您应该检查并查看是否安装了恶意版本。

为此,请查找恶意软件丢弃的以下文件,如果找到,请将其删除:

  • /etc/cron.d/collect /etc/cron.d/collect
  • /var/tmp/crond /var/tmp/crond
  • /var/tmp/bs /var/tmp/bs

尽管这些攻击中使用的恶意工具已经过时,受感染计算机上有可疑活动的迹象,并且有多个社交媒体报告,但恶意的 Debian 软件包多年来仍未被发现。

卡巴斯基表示,这是由于多种因素的综合作用,包括Linux上恶意软件的罕见性,以及由于只有部分用户被重定向到非官方URL而导致的传播有限。

本文转载自https://www.bleepingcomputer.com/news/security/free-download-manager-site-redirected-linux-users-to-malware-for-years/,本文观点不代表墨知立场。

(0)
上一篇 2023年9月7日 下午7:50
下一篇 2023年10月10日 下午7:51

相关推荐

  • 开发者警惕:恶意的Rust库被发现将操作系统信息传输到Telegram频道

    再次表明开发者仍然是软件供应链攻击的目标,一些恶意包在Rust编程语言的crate注册表上被发现。 据上周发布的一份报告称,这些库是由一个名为”amaperf”的用户在2023年8月14日至16日期间上传的。这些包的名称如下:postgress、if-cfg、xrvrv、serd、oncecell、lazystatic和envlogg…

    2023年8月30日
    0
  • CrowdStrike的报告显示身份攻击事件有所增加

    随着业界日益增长的安全担忧,CrowdStrike的2023年报告显示了针对云的基于身份的网络入侵攻击的增长。 CrowdStrike宣布发布了其2023年的CrowdStrike威胁狩猎报告,其中揭示了基于身份入侵的大幅增加。这些报告涵盖了CrowdStrike的精英威胁猎人和情报分析师所观察到的攻击趋势和“对手手法”。 报告显示,针对云的更为复杂的网络攻…

    2023年8月11日
    0
  • Mandiant公司称黑客组织利用巴拉克达零日漏洞,针对政府、军事和电信领域进行攻击

    Thehackernews 发文称一名涉嫌与中国有关的黑客组织利用最近披露的巴拉克达网络电子邮件安全网关(ESG)设备的零日漏洞,作为一项全球间谍活动的一部分,入侵了政府、军事、国防和航空航天、高科技行业以及电信领域。 追踪该活动的Mandiant公司将威胁行为称为“UNC4841”,并描述该威胁行为者“对防御措施高度敏感”,并能够主动调整其作案方式以保持对…

    2023年8月31日
    0
  • 如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年8月9日
    0
  • 伊朗 APT34 对阿联酋供应链发起攻击

    APT34是什么? APT34是一个伊朗的威胁组织,主要在中东地区活动,针对该地区的各种不同行业的组织。它之前已被关联到对UAE的其他网络监视活动。 这个威胁组织经常发动供应链攻击,利用组织之间的信任关系攻击他们的主要目标,系统地攻击那些似乎是出于战略目的而被精心选择的特定组织。 根据Mandiant的研究,APT34自2014年起就开始活动,使用公开和非公…

    2023年8月9日
    0