Ücretsiz İndirme Yöneticisi Sitesi Pushed Linux Şifre Çalıcı


Unutmayın: Bedava öğle yemeği diye bir şey yoktur!

ÖNEMLİ BULGULAR

  • Free Download Manager web sitesine yapılan bir tedarik zinciri saldırısı, bazı kullanıcıları şifre çalan kötü amaçlı yazılım yükleyen kötü amaçlı bir Debian paketine yönlendirdi.
  • Kötü amaçlı paket, “deb.fdmpkgorg” etki alanında barındırılıyordu ve /var/tmp/crond ve /var/tmp/bs dosya yollarına iki yürütülebilir dosya indiren bir yükleme sonrası komut dosyası içeriyordu.
  • Crond iş planlayıcısı, /var/tmp/crond adresinde bulunan bir belgeyi 10 dakikalık aralıklarla tekrar tekrar başlatılmaya zorlamak için kullanıldı ve virüslü sistemlere etkili bir şekilde arka kapı açıldı.
  • Saldırgan daha sonra sahip olduğu sunucuya bir ters kabuk oluşturdu ve virüslü sisteme bir Bash hırsızı yükledi.
  • Bash hırsızı, sistem ayrıntıları, tarama geçmişi, kripto para birimi cüzdan dosyaları, kayıtlı şifreler ve bulut hizmetleri kimlik bilgileri gibi hassas verileri toplar.
  • Kampanya artık aktif değil ancak saldırganların nihai hedefleri hala bilinmiyor.
  • Free Download Manager’ı indiren kullanıcıların tümü kötü amaçlı paketi almadı; bu da kampanyanın bu kadar uzun süre fark edilmeden kalmasına yardımcı olmuş olabilir.
  • Bu, Linux masaüstü bilgisayarlarının ve sunucu cihazlarının etkili ve güvenilir güvenlik çözümleriyle güvence altına alınması ihtiyacını vurgulamaktadır.

Yaygın olarak güvenilen bir ücretsiz yazılım indirme sitesinin, son üç yıldır şüphelenmeyen kullanıcıları bilgi çalan kötü amaçlı yazılımlara maruz bıraktığını ve bu haftaya kadar kimsenin bunu tespit edemediğini anlamak zor, ancak şaşırtıcı değil.

Siber güvenlik firması Kaspersky’ye göre, kötü niyetli tedarik zinciri saldırısı 2020’den 2022’ye kadar aktif kaldı ancak yakın zamanda araştırmacılar tarafından şüpheli alanlar araştırılırken keşfedildi.

Kaspersky’nin blog gönderisine göre, “freedownloadmanagerorg” adlı bir web sitesi, yasal Linux yazılımı “Free Download Manager”ı sunuyordu. Ocak 2020’den bu yana, kullanıcıları kurulum sonrası komut dosyası içeren kötü amaçlı bir Debian paketine yönlendirdikten sonra bu yazılımın zararsız bir sürümünü sunmaya başladı.

Araştırmacılar, web sitesinin kullanıcıları Debian paketini barındıran başka bir alan adı olan deb.fdmpkgorg’a yönlendirdiğini belirtti. Betik, /var/tmp/crond ve /var/tmp/bs dosya yollarına iki yürütülebilir dosya indirdi.

Bu komut dosyası, /var/tmp/crond adresinde bulunan bir belgenin 10 dakikalık aralıklarla tekrar tekrar başlatılmasını sağlamak için cron iş planlayıcısını kullandı, böylece Free Download Manager’ın şifresi çözülmüş bu sürümünü yükleyen sistemlere kalıcı olarak arka kapı açıldı. Bilginiz olsun, crond, diğer adıyla Bew, 2013 yılında keşfedilen bir arka kapı çeşididir.

Saldırgan daha sonra sahip olduğu sunucuya bir ters kabuk oluşturdu ve virüslü sisteme bir Bash hırsızı yükledi. Bu hırsız, daha önce Haziran 2019’da Yoroi tarafından analiz edilmişti. Sistem ayrıntıları, tarama geçmişi, kripto para birimi cüzdan dosyaları, kayıtlı şifreler ve AWS, Oracle Bulut Altyapısı, Google Cloud ve Azure dahil olmak üzere bulut hizmetleri kimlik bilgileri gibi hassas verileri topluyor.

Bu ayrıntıları topladıktan sonra kötü niyetli hırsız, yükleyici ikili dosyasını indirmek için C2 sunucusuyla bağlantı kurar ve onu şu yola kaydeder: /var/tmp/atd. Bu ikili dosya daha sonra hırsız yürütme sonuçlarını kötü amaçlı yazılım operatörünün altyapısına yüklemek için kullanılır.

Ücretsiz İndirme Sitesi Pushed Linux Şifre Çalıcı
Ekran görüntüsünde saldırı akışı, kullanıcıların yönlendirildiği alan adı, kötü amaçlı paketin siteden nasıl düşürüleceğini gösteren indirme yöneticisinin gösterildiği bir YouTube videosu ve 2021’de kötü amaçlı yazılımdan şikayet eden kullanıcılar gösteriliyor.

“İletişim protokolü, bağlantı türüne bağlı olarak SSL veya TCP’dir. SSL durumunda, crond arka kapısı /var/tmp/bs çalıştırılabilir dosyasını başlatır ve diğer tüm iletişimleri ona devreder. Aksi takdirde, ters kabuk crond arka kapısının kendisi tarafından yaratılır,” diye yazıyordu raporda.

Yine de Free Download Manager ekibi, kullanıcılarından özür diledi ve daha iyi güvenlik önlemleri uygulayacağına söz verdi. Ayrıca kullanıcıları sistemlerini tarayıp şifrelerini değiştirmeye çağırdı.

“Belirtilen zaman diliminde ele geçirilen sayfamızdan Linux için FDM’yi indirmeye çalışan kullanıcı alt kümesi arasındaysanız, sisteminizde kötü amaçlı yazılım taraması yapmanızı ve önlem olarak şifrelerinizi güncellemenizi önemle öneririz.”

Ücretsiz İndirme Yöneticisi ekibi

Neyse ki bu kampanya artık aktif değil. Kampanyanın nihai hedefleri halen araştırılmaktadır. Ancak ilginç bir bulgu, Free Download Manager’ı indiren tüm kullanıcıların kötü amaçlı paketi almamasıdır. Belki de kampanyanın bu kadar uzun süre fark edilmemesinin nedeni budur. Bu, Linux masaüstü bilgisayarlarının ve sunucu cihazlarının etkili ve güvenilir güvenlik çözümleriyle güvence altına alınmasına yönelik artan ihtiyacın altını çiziyor.

  1. Kötü amaçlı yazılım Fiverr ve Freelancer.com’daki Freelancerları vuruyor
  2. Neredeyse Her Büyük Ücretsiz VPN Hizmeti Mükemmel Bir Veri Çiftliğidir
  3. Play Store’daki popüler ücretsiz Android VPN uygulamaları kötü amaçlı yazılım içeriyor
  4. Ücretsiz WinZip deneme açılır penceresindeki güvenlik açığı, bilgisayar korsanlarının kötü amaçlı yazılımları düşürmesine olanak tanıyor
  5. Bu kötü amaçlı yazılım, ücretsiz VPN’in ve korsan güvenlik yazılımı anahtarlarının arkasına gizleniyor





Source link