Free Download Manager Linux-Benutzer-Alarm: Angriff auf die Lieferkette
Securelist hat eine besorgniserregende Enthüllung für Linux-Benutzer gemacht: Ein Debian-Paket, das mit dem weit verbreiteten "Free Download Manager" verbunden ist, enthält Malware und stellt ein erhebliches Sicherheitsrisiko für ahnungslose Benutzer dar.
Die Telemetriedaten von Securelist zeigen auch, dass allein in der ersten Hälfte des Jahres 2023 erstaunliche 260.000 verschiedene Linux-Instanzen mit Malware und anderen bösartigen Aktivitäten in Verbindung gebracht wurden.
Free Download Manager Debian-Repository infiziert
Das Grundproblem liegt in einem Debian-Repository, das mit der Domain deb.fdmpkg[.]org
. Beim Besuch dieser Webdomäne stoßen die Benutzer auf eine harmlos aussehende Webseite, hinter der sich böswillige Absichten verbergen. Diese Subdomain gibt vor, ein Debian-Repository für den "Free Download Manager" zu hosten, eine bekannte Software, die von vielen genutzt wird.
Bei näherer Betrachtung entdeckte unser Untersuchungsteam ein Debian-Paket für den "Free Download Manager", das über die https://deb.fdmpkg[.]org/freedownloadmanager.deb
URL. Dieses Paket enthielt ein kompromittiertes "postinst"-Skript, das während der Installation ausgeführt wird. Dieses Skript hinterlegt heimlich zwei ELF-Dateien in /var/tmp/crond
und /var/tmp/bs
Verzeichnisse, wobei die Persistenz durch eine Cron-Aufgabe hergestellt wird, die in /etc/cron.d/collect
. Diese Aufgabe stößt die /var/tmp/crond
die Ausführung der Datei alle 10 Minuten.
Es ist wichtig zu wissen, dass das infizierte Paket auf den 24. Januar 2020 zurückgeht. Das "postinst"-Skript enthält Kommentare in russischer und ukrainischer Sprache, die Einblicke in die Entwicklung der Malware und die Beweggründe der Angreifer geben.
Bash Stealing Script
Bei der Installation führt das Paket eine ausführbare Datei ein, /var/tmp/crond
und dient als Hintertür. Diese ausführbare Datei arbeitet unabhängig von externen Bibliotheken, greift aber über Syscalls mit der statisch gelinkten dietlibc-Bibliothek auf die Linux-API zu.
Bei der Initialisierung startet die Hintertür eine DNS-Anfrage für eine hexadezimal kodierte 20-Byte-Zeichenfolge unter <hex-encoded 20-byte string>.u.fdmpkg[.]org
. Diese Anfrage ergibt zwei IP-Adressen, die die Adresse und den Port eines sekundären Command-and-Control-Servers (C2) preisgeben. Dieses bösartige Kommunikationsprotokoll kann je nach Art der Verbindung entweder SSL oder TCP verwenden. Wenn SSL verwendet wird, /var/tmp/bs
für die weitere Kommunikation aktiviert wird; andernfalls erzeugt die Crond-Backdoor selbst eine Reverse Shell.
Als wir die Taktik des Angreifers näher untersuchten, fand unser Team heraus, dass die Crond-Backdoor eine Reverse Shell erzeugt. Dieser heimliche Eindringling sammelt eine Reihe sensibler Daten, darunter Systeminformationen, den Browserverlauf, gespeicherte Passwörter, Kryptowährungs-Wallet-Dateien und Anmeldedaten für Cloud-Dienste wie AWS, Google Cloud, Oracle Cloud Infrastructure und Azure.
Anschließend lädt der Infiltrator eine Uploader-Binärdatei vom C2-Server herunter und speichert sie in /var/tmp/atd
. Diese Binärdatei wird dann verwendet, um die gestohlenen Daten an die Infrastruktur der Angreifer zu übermitteln und ihre schändliche Operation abzuschließen.
Schlussfolgerung
Bemerkenswerterweise wird die Malware nicht auf der offiziellen Website gehostet; stattdessen werden ausgewählte Linux-Nutzer auf die kompromittierte deb-Datei umgeleitet. Auf Reddit und StackOverflow sind einige Berichte aufgetaucht, in denen Nutzer ein verdächtiges Verhalten von Free Download Manager zwischen 2020 und 2022 feststellen.
Wir raten dringend zur sofortigen Deinstallation des Debian-Pakets "Free Download Manager", falls es derzeit auf Ihrem System installiert ist. Die FDM-Entwickler haben außerdem ein Skript zur Erkennung potenzieller Infektionen auf Linux-Geräten nach diesem gemeldeten Angriff auf die Lieferkette veröffentlicht.
Die Quellen für diesen Artikel sind u.a. ein Bericht von DebugPointNews.