Üç yıl boyunca seçilen ziyaretçilere kötü amaçlı yazılım dağıttıktan sonra Free Download Manager, web sitesinin güvenliğinin ihlal edildiği konusunda uyarıldı.
Free Download Manager, kamuya yaptığı bir duyuruda, sitesindeki belirli bir web sayfasının Ukraynalı bir siber suç grubu tarafından ele geçirildiğini ve bu sayfayı kötü amaçlı yazılım dağıtmak için kullandığını kabul etti.
Free Download Manager, şaşırtıcı olmayan bir şekilde, Windows, macOS, Android ve Linux için kullanıcıların indirdiklerini yönetmelerine ve büyük dosyaları, torrentleri, müzikleri ve videoları yakalamalarına olanak tanıyan bir indirme yöneticisidir.
Duyuruda hizmet, asıl güvenlik olayının 2020’de gerçekleştiğini söylüyor. Peki sorun neden yakın zamanda keşfedildi?
Her şeyden önce, siber suçlular yalnızca yazılımın Linux sürümünü hedefleyen kullanıcıları yönlendirdi.
Bu ziyaretçilerin tümü kötü amaçlı etki alanına yönlendirilmedi. Henüz bilinmeyen kriterlere göre “parmak izleri” alındı ve yalnızca bazılarına kötü amaçlı Debian paketi sunuldu. Free Download Manager’a göre, ele geçirilen web sitesi, Bing ve Google ile ilişkili olanlar da dahil olmak üzere çeşitli alt ağlardan gelen IP adreslerinin bir istisna listesini içeriyordu. Bu IP adreslerinden gelen ziyaretçilere her zaman doğru indirme bağlantısı verildi.
Dahası, kurbanlar tam işlevsel bir Ücretsiz İndirme Yöneticisi aldılar, dolayısıyla bazı kullanıcılar “İşlem bekleniyor: crond” sistemlerini kapatmaya veya yeniden başlatmaya çalıştıklarında.
Free Download Manager tarafından yapılan açıklamaya göre:
“Ziyaretçilerimizin %0,1’inden çok daha azının bu sorunla karşılaşmış olabileceği tahmin ediliyor.”
Sosyal medyadaki, Reddit, StackOverflow, YouTube ve Unix Stack Exchange’deki birkaç gönderi kötü amaçlı alan adını Ücretsiz İndirmeyi almak için güvenilir bir kaynak olarak göstermeseydi kurban sayısı daha da az olabilirdi. Yönetici aracı.
Ne yazık ki, Linux için kötü amaçlı yazılım tarayıcıları birçok ev kullanıcısı tarafından işe yaramaz olarak görülüyor ve yalnızca bazı şirketler bunları uç nokta güvenlik çözümlerine ekliyor. Bu nedenle, Free Download Manager kullanıcıları ile Linux sistemleri için kötü amaçlı yazılımdan koruma çözümü dağıtanlar arasında pek fazla örtüşme beklenmez.
Debian paketleri genellikle Ubuntu dahil Debian tabanlı Linux dağıtımlarına yazılım yüklemek için kullanılır. Kötü amaçlı paket, bilgi çalan bir komut dosyasını ve C2 sunucusundan ters kabuk oluşturan bir crond arka kapısını düşürdü. Crond, arka planda cron işlerini yürütmek için kullanılan bir arka plan programıdır. Otomatik görevleri (cron işleri) belirli bir programa uygun olarak çalıştırmak için komutları işleyen ve yürüten bir hizmet sürecidir.
Söz konusu hırsız, sistem bilgilerinin, tarama geçmişinin, kayıtlı şifrelerin, kripto para birimi cüzdan dosyalarının yanı sıra bulut hizmetleri (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure) için kimlik bilgilerinin peşindeydi.
İyileştirme
Güvenliği ihlal edilen Free Download Manager web sitesi değiştirildi. 2020 ile 2022 yılları arasında Linux için FDM’yi indiren tüm Free Download Manager kullanıcılarının bilgisayarlarını kötü amaçlı yazılımlara karşı taraması gerekir.
Malwarebytes Tarayıcı Koruması kullanıcıları bu etki alanını ziyaret etmeye çalıştıklarında bir uyarı alacaklardır.
Tarayıcı Koruması fdmpkg.org’u engelliyor
Uzlaşma Göstergeleri (IOC’ler):
Dosya karmaları (SHA-256):
b77f63f14d0b2bde3f4f62f4323aad87194da11d71c117a487e18ff3f2cd468d
2214c7a0256f07ce7b7aab8f61ef9cbaff10a456c8b9f2a97d8f713abd660349
93358bfb6ee0caced889e94cd82f6f417965087203ca9a5fce8dc7f6e1b8a3ea
d73be6e13732d365412d71791e5eb1096c7bb13d6f7fd533d8c04392ca0b69b5
Dosya konumları:
/etc/cron.d/collect
/var/tmp/crond
/var/tmp/bs
/var/tmp/atd
IP ve etki alanı:
172.111.48.101
fdmpkg.org
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE