Free Download Manager Debian 软件包感染了恶意软件

与 Windows 不同，Linux 恶意软件很少被观察到。据 securelist 报道，流行的“Free Download Manager”相关的 Debian 软件包被发现感染了恶意软件。隐藏在 deb 软件包中的这个恶意软件对毫不知情的用户构成了重大安全威胁。

在过去的几年里，Linux 计算机已经越来越成为各种威胁行为者的主要目标。令人震惊的是，Securelist 的遥测数据显示，仅在 2023 年上半年，就有惊人的 26 万个独特的 Linux 样本与恶意软件和其他恶意活动相关。

这个问题的根源在于与域名‘deb.fdmpkg[.]org’相关联的Debian存储库。在浏览器中访问这个域时，用户会遇到一个看似无害的网页。然而，在这个幕后，麻烦正在酝酿。这个子域声称托管了一个‘Free Download Manager’的Debian存储库，这是一个众所周知的许多人使用的软件。

经过进一步调查，团队发现了一个可从‘https://deb.fdmpkg[.]org/freedownloadmanager.deb‘ URL下载的‘Free Download Manager’的Debian软件包。这个软件包包含一个在安装过程中执行的被感染的‘postinst’脚本。该脚本在‘/var/tmp/crond’和‘/var/tmp/bs’目录中放置了两个ELF文件，通过存储在‘/etc/cron.d/collect’中的cron任务建立了持久性。此任务每10分钟启动一次‘/var/tmp/crond’文件。

值得注意的是，这个被感染的软件包可以追溯到 2020 年 1 月 24 日。postinst 脚本包含俄语和乌克兰语的注释，提供了有关恶意软件演变和攻击者动机的见解。

一旦安装，该软件包会释放一个名为‘/var/tmp/crond’的可执行文件，它充当后门。值得一提的是，这个可执行文件不依赖于外部库，而是使用静态链接的dietlibc库调用系统调用以访问Linux API。

启动后，后门会为‘<hex-encoded 20-byte string>.u.fdmpkg[.]org.’的十六进制编码的20字节字符串发起 DNS 请求。作为响应，它会收到两个 IP 地址，显示了次级命令和控制（C2）服务器的地址和端口。这种邪恶的通信协议可以是 SSL 或 TCP，具体取决于连接类型。如果使用 SSL，‘/var/tmp/bs’将被启动以进行进一步的通信；否则，crond 后门本身将创建一个反向 shell。

深入研究攻击者的策略，团队还发现，crond 后门会生成一个反向 shell。这个险恶的窃取者收集了大量敏感数据，包括系统信息、浏览历史、保存的密码、加密货币钱包文件以及云服务（如AWS、Google Cloud、Oracle Cloud Infrastructure和Azure）的凭据。

随后，窃取者从 C2 服务器下载了一个上传者二进制文件，并将其存储在‘/var/tmp/atd’中。然后，该二进制文件用于将窃取的数据传输到攻击者的基础设施，完成了他们的阴险行动。

令人惊讶的是，官方网站似乎没有托管这种恶意软件；随机选择的 Linux 用户会被重定向到被感染的 deb 文件。在 Reddit 和 StackOverflow 上发现了一些帖子，用户在 2020 年至 2022 年间报告了“Free Download Manager”的可疑行为。

如果已安装，我建议您立即卸载“Free Download Manager”的 Debian 软件包。

源自：securelist.com blog

The post Free Download Manager Debian 软件包感染了恶意软件 first appeared on Linux迷.