Bildirilen bir Free Download Manager tedarik zinciri saldırısı, Linux kullanıcılarını, bilgi çalan kötü amaçlı yazılımların yüklendiği kötü amaçlı bir Debian paket deposuna yönlendirdi.
Bu kampanyada kullanılan kötü amaçlı yazılım, C2 sunucusuna ters bir kabuk oluşturuyor ve kullanıcı verilerini ve hesap kimlik bilgilerini toplayan bir Bash hırsızı yüklüyor.
Kaspersky, şüpheli alanları araştırırken potansiyel tedarik zinciri ihlali vakasını keşfetti ve kampanyanın üç yılı aşkın süredir devam ettiğini tespit etti.
Siber güvenlik şirketi, yazılım satıcısına bu konuda bilgi vermesine rağmen bir yanıt alamadığı için, uzlaşmanın kesin yolu belirsizliğini koruyor.
BleepingComputer ayrıca yorum almak için Free Download Manager’ın satıcısıyla da temasa geçti, ancak yayınlanma tarihine kadar herhangi bir yanıt alamadık.
Doğrudan indirmeler ve yönlendirmeler
Kaspersky, resmi indirme sayfasının “freedownloadmanager”da barındırıldığını söylüyor[.]org” bazen Linux sürümünü indirmeye çalışanları “deb.fdmpkg” adresindeki kötü amaçlı bir alana yönlendiriyordu.[.]org”, kötü amaçlı bir Debian paketini barındırıyor.
Bu yeniden yönlendirmenin, resmi siteden indirme denemelerinin tüm örneklerinde değil, yalnızca bazı durumlarda gerçekleşmesi nedeniyle, komut dosyalarının, belirli ancak bilinmeyen kriterlere dayalı olarak kötü amaçlı indirmelerle kullanıcıları hedef aldığı varsayılmaktadır.
Kaspersky, sosyal medya, Reddit, StackOverflow, YouTube ve Unix Stack Exchange’de, kötü amaçlı alanın Ücretsiz İndirme Yöneticisi aracını edinmek için güvenilir bir kaynak olarak yayıldığı çeşitli gönderileri gözlemledi.
Ayrıca, 2021’de resmi Free Download Manager web sitesinde yer alan bir gönderi, virüs bulaşmış bir kullanıcının kötü amaçlı ‘fdmpkg.org’ alan adını nasıl işaret ettiğini ve bunun resmi projeyle bağlantılı olmadığının söylendiğini gösteriyor.
Aynı sitelerde kullanıcılar son üç yılda yazılımla ilgili sorunları tartıştı, şüpheli dosyalar ve oluşturduğu cron işleri hakkında görüş alışverişinde bulundu, ancak hiçbiri kendilerine kötü amaçlı yazılım bulaştığını fark etmedi.
Kaspersky, yönlendirmenin 2022’de durdurulduğunu belirtirken eski YouTube videoları [1, 2] resmi Ücretsiz İndirme Yöneticisinde indirme bağlantılarını açıkça göstererek bazı kullanıcıları kötü amaçlı http://deb.fdmpkg adresine yönlendiriyor[.]freedownloadmanager.org yerine org URL’si.
Ancak bu yönlendirme herkes için kullanılmadı; yaklaşık aynı zamana ait başka bir video, bir kullanıcının programı resmi URL’den indirdiğini gösteriyor.
Bilgi çalan kötü amaçlı yazılımları dağıtma
Ubuntu ve Ubuntu tabanlı çatallar da dahil olmak üzere Debian tabanlı Linux dağıtımlarının yazılımını yüklemek için kullanılan kötü amaçlı Debian paketi, bir Bash bilgi çalma komut dosyasını ve C2 sunucusundan ters kabuk oluşturan bir crond arka kapısını bırakıyor.
Crond bileşeni, sistem başlatıldığında bir hırsız komut dosyası çalıştıran sistemde yeni bir cron işi oluşturur.
Kaspersky, crond arka kapısının 2013’ten bu yana dolaşımda olan ‘Bew’ kötü amaçlı yazılımının bir çeşidi olduğunu ve Bash hırsızının 2019’da ilk kez tespit edilip analiz edildiğini buldu. Bununla birlikte, araç seti yeni değil.
Kaspersky tarafından analiz edilen Bash hırsızı sürümü, AWS, Google Cloud, Oracle Cloud Infrastructure ve Azure bulut hizmetleri için sistem bilgilerini, tarama geçmişini, tarayıcılarda kayıtlı şifreleri, RMM kimlik doğrulama anahtarlarını, kabuk geçmişini, kripto para birimi cüzdan verilerini ve hesap kimlik bilgilerini toplar.
Toplanan bu veriler daha sonra saldırganların sunucusuna yükleniyor ve burada başka saldırılar gerçekleştirmek için kullanılabiliyor veya diğer tehdit aktörlerine satılabiliyor.
Free Download Manager’ın Linux sürümünü 2020 ile 2022 yılları arasında yüklediyseniz, kötü amaçlı sürümün kurulup kurulmadığını kontrol etmeli ve görmelisiniz.
Bunu yapmak için, kötü amaçlı yazılım tarafından bırakılan aşağıdaki dosyaları arayın ve bulunursa bunları silin:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
Bu saldırılarda kullanılan kötü amaçlı araçların eskiliğine, virüslü bilgisayarlarda şüpheli etkinlik belirtilerine ve çok sayıda sosyal medya raporuna rağmen, kötü amaçlı Debian paketi yıllarca tespit edilemedi.
Kaspersky, bunun Linux’ta kötü amaçlı yazılımların nadir görülmesi ve kullanıcıların yalnızca bir kısmının resmi olmayan URL’ye yönlendirilmesinden kaynaklanan sınırlı yayılma gibi faktörlerin birleşiminden kaynaklandığını söylüyor.