Free Download Manager是 Linux 上管理下载的流行工具,其官方linux下载版本存在后门。这个恶意包是通过官方网站传播,导致机器被感染三年多。
攻击涉及基于 DNS 的后门和 Bash 窃取程序,后者从受害者那里收集敏感数据。
攻击涉及将一个可疑的存储库添加到用户的 aptsources.list 中,从而允许安装该软件的恶意版本。
证据
YouTube 上介绍Free Download Manager视频中,我们发现了几个演示如何在 Linux 计算机上安装此软件的教程。我们观察到所有这些视频中都发生了以下操作:
- 视频制作者在浏览器中打开免费下载管理器(freedownloadmanager[.]org )的合法网站;
- 随后,他们点击了 Linux 版本软件的“下载”按钮;
- 他们被重定向到恶意的 https://deb.fdmpkg[.]org/freedownloadmanager.deb URL,该 URL 托管受感染版本的 Free Download Manager。
我们还注意到,并非所有情况下都会重定向到恶意deb.fdmpkg[.]org域。在同一时间段内发布的另一个视频中,用户单击了软件网站上托管的“下载”按钮,最终从合法网站下载了 Free Download Manager。
因此,恶意软件开发人员可能会编写恶意重定向脚本,以某种程度的概率或基于潜在受害者的数字指纹出现。
我们进一步检查了合法的Free Download Manager网站,想了解软件开发人员是否意识到他们的网站可能受到损害。在 2021 年该软件博客上发表的一条评论中,一名用户抱怨观察到对5d6167ef729c91662badef0950f795bf362cbb99.u.fdmpkg[.]org域的访问。用户“blogadmin”对此评论的回复表示,Free Download Manager 与此域无关,建议仅使用该软件的官方版本。
然而,没有人费心去发现这个用户是如何最终安装这个可疑版本的免费下载管理器的。因此,该软件的官方网站至少在 2022 年之前继续分发恶意 Debian 软件包。
后门的起源
在确定了受感染的 Free Download Manager 软件包的分发方式后,我们决定检查在研究过程中发现的植入程序是否与其他恶意软件样本存在代码重叠。事实证明,crond 后门代表了名为 Bew 的后门的修改版本。卡巴斯基Linux 安全解决方案自 2013 年以来一直在检测其变种。
Bew 后门已被多次分析,其第一个描述于 2014 年发布。此外,CERN 在 2017 年发布了有关使用 Bew 的 BusyWinman 活动的信息。据 CERN 称,Bew 感染是通过偷渡式下载进行的。
至于窃取程序,其早期版本由 Yoroi 在 2019 年描述。它是在利用 Exim 邮件服务器中的漏洞后使用的。
为什么没有更早地发现该恶意软件包?
在此活动中观察到的恶意软件自 2013 年以来就已为人所知。此外,正如社交网络上的多个帖子所证明的那样,植入程序的噪音非常大。根据我们的遥测数据,该活动的受害者遍布世界各地,包括巴西、中国、沙特阿拉伯和俄罗斯。鉴于这些事实,恶意 Free Download Manager 软件包在三年多的时间里仍未被发现,这似乎有些矛盾。
我们评估这是由于以下因素造成的:
- 与 Windows 不同,Linux 恶意软件很少被观察到。
- 恶意 Debian 软件包的感染有一定的概率发生:一些用户收到了受感染的软件包,而其他用户最终下载了良性软件包;
- 讨论免费下载管理器问题的社交网络用户并不怀疑这些问题是由恶意软件引起的。