ClickCease Free Download Manager Linux-Benutzer-Alarm: Angriff auf die Lieferkette

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Free Download Manager Linux-Benutzer-Alarm: Angriff auf die Lieferkette

von Rohan Timalsina

28. September 2023. TuxCare-Expertenteam

Securelist hat eine besorgniserregende Enthüllung für Linux-Benutzer gemacht: Ein Debian-Paket, das mit dem weit verbreiteten "Free Download Manager" verbunden ist, enthält Malware und stellt ein erhebliches Sicherheitsrisiko für ahnungslose Benutzer dar.

Die Telemetriedaten von Securelist zeigen auch, dass allein in der ersten Hälfte des Jahres 2023 erstaunliche 260.000 verschiedene Linux-Instanzen mit Malware und anderen bösartigen Aktivitäten in Verbindung gebracht wurden.

 

Free Download Manager Debian-Repository infiziert

Das Grundproblem liegt in einem Debian-Repository, das mit der Domain deb.fdmpkg[.]org. Beim Besuch dieser Webdomäne stoßen die Benutzer auf eine harmlos aussehende Webseite, hinter der sich böswillige Absichten verbergen. Diese Subdomain gibt vor, ein Debian-Repository für den "Free Download Manager" zu hosten, eine bekannte Software, die von vielen genutzt wird.

Bei näherer Betrachtung entdeckte unser Untersuchungsteam ein Debian-Paket für den "Free Download Manager", das über die https://deb.fdmpkg[.]org/freedownloadmanager.deb URL. Dieses Paket enthielt ein kompromittiertes "postinst"-Skript, das während der Installation ausgeführt wird. Dieses Skript hinterlegt heimlich zwei ELF-Dateien in /var/tmp/crond und /var/tmp/bs Verzeichnisse, wobei die Persistenz durch eine Cron-Aufgabe hergestellt wird, die in /etc/cron.d/collect. Diese Aufgabe stößt die /var/tmp/crond die Ausführung der Datei alle 10 Minuten.

Es ist wichtig zu wissen, dass das infizierte Paket auf den 24. Januar 2020 zurückgeht. Das "postinst"-Skript enthält Kommentare in russischer und ukrainischer Sprache, die Einblicke in die Entwicklung der Malware und die Beweggründe der Angreifer geben.

 

Bash Stealing Script

Bei der Installation führt das Paket eine ausführbare Datei ein, /var/tmp/crondund dient als Hintertür. Diese ausführbare Datei arbeitet unabhängig von externen Bibliotheken, greift aber über Syscalls mit der statisch gelinkten dietlibc-Bibliothek auf die Linux-API zu.

Bei der Initialisierung startet die Hintertür eine DNS-Anfrage für eine hexadezimal kodierte 20-Byte-Zeichenfolge unter <hex-encoded 20-byte string>.u.fdmpkg[.]org. Diese Anfrage ergibt zwei IP-Adressen, die die Adresse und den Port eines sekundären Command-and-Control-Servers (C2) preisgeben. Dieses bösartige Kommunikationsprotokoll kann je nach Art der Verbindung entweder SSL oder TCP verwenden. Wenn SSL verwendet wird, /var/tmp/bs für die weitere Kommunikation aktiviert wird; andernfalls erzeugt die Crond-Backdoor selbst eine Reverse Shell.

Als wir die Taktik des Angreifers näher untersuchten, fand unser Team heraus, dass die Crond-Backdoor eine Reverse Shell erzeugt. Dieser heimliche Eindringling sammelt eine Reihe sensibler Daten, darunter Systeminformationen, den Browserverlauf, gespeicherte Passwörter, Kryptowährungs-Wallet-Dateien und Anmeldedaten für Cloud-Dienste wie AWS, Google Cloud, Oracle Cloud Infrastructure und Azure.

Anschließend lädt der Infiltrator eine Uploader-Binärdatei vom C2-Server herunter und speichert sie in /var/tmp/atd. Diese Binärdatei wird dann verwendet, um die gestohlenen Daten an die Infrastruktur der Angreifer zu übermitteln und ihre schändliche Operation abzuschließen.

 

Schlussfolgerung

Bemerkenswerterweise wird die Malware nicht auf der offiziellen Website gehostet; stattdessen werden ausgewählte Linux-Nutzer auf die kompromittierte deb-Datei umgeleitet. Auf Reddit und StackOverflow sind einige Berichte aufgetaucht, in denen Nutzer ein verdächtiges Verhalten von Free Download Manager zwischen 2020 und 2022 feststellen.

Wir raten dringend zur sofortigen Deinstallation des Debian-Pakets "Free Download Manager", falls es derzeit auf Ihrem System installiert ist. Die FDM-Entwickler haben außerdem ein Skript zur Erkennung potenzieller Infektionen auf Linux-Geräten nach diesem gemeldeten Angriff auf die Lieferkette veröffentlicht.

 

Die Quellen für diesen Artikel sind u.a. ein Bericht von DebugPointNews.

Zusammenfassung
Free Download Manager Linux-Benutzer-Alarm: Angriff auf die Lieferkette
Artikel Name
Free Download Manager Linux-Benutzer-Alarm: Angriff auf die Lieferkette
Beschreibung
Entdecken Sie den Angriff auf die Lieferkette des Free Download Managers, der mit dem bösartigen Debian-Paket, das den Bash-Stealer enthält, auf Linux-Nutzer abzielt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!