免费下载管理器被恶意软件感染的Debian包

2023年 9月 15日 74.4k 0

在Securelist.com向Linux用户披露的一则令人震惊的消息中,与流行的“免费下载管理器”相关的Debian包被发现感染了恶意软件。该恶意软件潜伏在Deb包中,对毫无戒心的用户构成重大安全威胁。

在过去的几年里,Linux机器越来越多地成为各种威胁参与者的首要目标。令人震惊的是,SecureList的遥测数据显示,仅在2023年上半年,就有惊人的26万个独特的Linux样本与恶意软件和其他恶意活动有关。

这个问题的根源在于链接到域‘deb.fdmpkg[.]org’的Debian存储库。在Web浏览器中访问此域时,用户会遇到一个看似无害的网页。然而,在这个表面之下,麻烦正在酝酿之中。这个子域声称托管着一个Debian存储库,里面有许多人使用的知名软件“免费下载管理器”。

在进一步的调查中,该团队发现了一个可从‘https://deb.fdmpkg[.]org/freedownloadmanager.deb‘网址下载的Debian包,名为“免费下载管理器”。此程序包包含在安装过程中执行的受感染的‘postinst’脚本。此脚本将两个ELF文件存放在‘/var/tmp/crond’和‘/var/tmp/bs’目录中,通过存储在‘/etc/cron.d/Collect’中的cron任务建立持久性。该任务每10分钟启动一次‘/var/tmp/crond’文件。

重要的是要注意到,受感染的病毒包可以追溯到2020年1月24日。Postinst脚本包含俄语和乌克兰语的评论,提供了对恶意软件演变和攻击者动机的洞察。

安装后,该程序包释放一个可执行文件‘/var/tmp/crond’,该文件充当后门。值得一提的是,该可执行文件不依赖于外部库,而是使用静态链接的dietlibc库调用syscall来访问Linux API。

免费下载管理器官网

在启动时,后门程序会发起一个DNS请求,请求一个位于‘.u.fdmpkg[.]org处的十六进制编码的20字节字符串。’作为响应,它会收到两个IP地址,显示辅助命令和控制(C2)服务器的地址和端口。根据连接类型的不同,这种邪恶的通信协议可以是SSL或TCP。如果使用了SSL,则会启动‘/var/tmp/bs’进行进一步通信;否则,crond后门程序本身就会创建一个反向外壳。

在更深入地研究攻击者的战术后,该团队还发现,crond后门会产生一个反向外壳。这个阴险的窃取者收集一系列敏感数据,包括系统信息、浏览历史、保存的密码、加密货币钱包文件以及AWS、Google Cloud、Oracle Cloud Infrastructure和Azure等云服务的凭据。

随后,窃取者从C2服务器下载一个上传程序二进制文件,并将其存储在‘/var/tmp/at.’中。然后,这种二进制代码被用来将窃取的数据传输到攻击者的基础设施,完成他们的邪恶操作。

令人惊讶的是,官方网站似乎没有托管恶意软件;随机选择的Linux用户被重定向到受攻击的Deb文件。在Reddit和StackOverflow上发现了一些帖子,用户报告了2020至2022年间免费下载管理器的可疑行为。

我建议你立即卸载‘免费下载管理器’Debian包,如果已经安装的话。

通过securelist.com博客

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论