Vn-Z.vn Ngày 14 tháng 09 năm 2023, Theo securelist các chuyên gia an ninh mạng vừa phát hiện một trang web đã âm thầm cài cắm backdoor tấn công công vào hệ sinh thái Linux. Mã độc này có thể lấy cắp mật khẩu và thông tin nhạy cảm khác trong hơn ba năm cho đến khi bị phát hiện. Theo dữ liệu theo dõi của securelist , trong nửa đầu năm 2023, đã xuất hiện 260.000 mẫu mã độc tấn công vào hệ thống Linux .
Trang web freedownloadmanager[.]org đã cung cấp một phiên bản ứng dụng Free- Download -Manager tưởng chừng như vô hại cho hệ điều hành Linux. Ngay cả trên Wikiperdia cũng đưa ra thông tin FreeDownloadManager là trình quản lý tải xuống dành cho Windows, macOS, Linux và Android .
Ảnh securelist
Tuy nhiên bắt đầu từ năm 2020, tên miền freedownloadmanager[.]org cùng lúc thực hiện chuyển hướng người dùng đến tên miền deb.fdmpkg[.]org, đây là nơi cung cấp phiên bản chứa mã độc dưới dạng ứng dụng FFree Download Manager.
Ảnh Securelist
Phiên bản chứa mã độc có các đoạn mã ra lệnh tải xuống hai tệp thực thi vào đường dẫn /var/tmp/crond và /var/tmp/bs. Sau đó, đoạn mã này tự lên lịch trình 10 phút chạy cron một lần trong đường dẫn tại /var/tmp/crond . Hành động này khiến các thiết bị nào từng cài đặt phiên bản FreeDownloadManager độc hại đều bị cắm backdoor ( cửa sau) vĩnh viễn.
Các chuyên gia từ Kaspersky đã tiến hành phân tích thử nghiệm và quan sát cách backdoor này hoạt động. Sau khi truy cập vào địa chỉ IP của tên miền độc hại, backdoor sẽ khởi chạy một reverse shell cho phép hacker thực hiện các cuộc tấn công từ xa và điều khiển các hệ thống bị nhiễm mã độc.
Trong một báo cáo được chia sẻ từ Securelist : "Steale này thu thập dữ liệu như thông tin hệ thống, lịch sử duyệt web, mật khẩu đã lưu, thông tin ví tiền điện tử, thông tin đăng nhập cho các dịch vụ đám mây (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure). Sau khi thu thập thông tin từ hệ thống bị nhiễm, stealer sẽ tải xuống một tệp binary uploader từ máy chủ C2 và lưu nó vào /var/tmp/atd. Sau đó, nó sử dụng binary này để tải lên kết quả thực thi của stealer lên hạ tầng của kẻ tấn công".
Sau khi tìm kiếm các bài đăng trên mạng xã hội nói về FreeDownloadManager, các chuyên gia an ninh phiện hiện ra một số người truy cập vào freedownloadmanager[.]org nhận được phiên bản vô hại của ứng dụng, trong khi một số người khác được chuyển hướng đến một trong các tên miền độc hại dưới đây để phát tán phiên bản đã bị gài backdoor.
Backdoor được cài cắm là phiên bản mã độc chuyên theo dõi có tên là Bew, mã độc này được công bố vào năm 2014. Bew là một trong những mã độc từng được sử dụng trong cuộc tấn công vào năm 2017 và chiến dịch năm 2019 nhằm khai thác lỗ hổng trong Exim Mail Server.
Các chuyên gia cho biết Chiến dịch hiện tại của mã độc FDM vẫn đang "nằm chờ" âm thầm và cho thấy rằng chiến dịch Free Download Manager backdoor khá khó để phát hiện các cuộc tấn công mạng đang diễn ra trên các máy Linux bằng mắt thường
Securelist cho biết thêm lý do tại sao mã độc này không được phát hiện sớm.
Mã độc được phát hiện trong chiến dịch này đã được biết đến từ năm 2013. Các phần cài đặt cuối cùng khá ồn ào và được chứng minh bởi nhiều bài đăng trên mạng xã hội. Theo dữ liệu theo dõi của chúng tôi, các nạn nhân của chiến dịch này được phân bố trên khắp thế giới, bao gồm Brazil, Trung Quốc, Ả Rập Saudi và Nga. Sự thật này, có thể có vẻ mâu thuẫn khi gói FreeDownloadManager độc hại vẫn không bị phát hiện trong hơn ba năm.
Cập nhật phản hồi chính thức từ FDM team
Cập nhật mới ngày 22/09/2023 từ FDM Team
Update 2: We have prepared a bash script that you can use to check the presence of malware in your system.
Launch Instructions:
We once again sincerely apologize for any inconvenience that might have been caused.
Thông tin bạn đọc có thể tham khảo tại securelist
Ảnh securelist
Ảnh Securelist
Các chuyên gia từ Kaspersky đã tiến hành phân tích thử nghiệm và quan sát cách backdoor này hoạt động. Sau khi truy cập vào địa chỉ IP của tên miền độc hại, backdoor sẽ khởi chạy một reverse shell cho phép hacker thực hiện các cuộc tấn công từ xa và điều khiển các hệ thống bị nhiễm mã độc.
Sau khi tìm kiếm các bài đăng trên mạng xã hội nói về FreeDownloadManager, các chuyên gia an ninh phiện hiện ra một số người truy cập vào freedownloadmanager[.]org nhận được phiên bản vô hại của ứng dụng, trong khi một số người khác được chuyển hướng đến một trong các tên miền độc hại dưới đây để phát tán phiên bản đã bị gài backdoor.
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
Các chuyên gia cho biết Chiến dịch hiện tại của mã độc FDM vẫn đang "nằm chờ" âm thầm và cho thấy rằng chiến dịch Free Download Manager backdoor khá khó để phát hiện các cuộc tấn công mạng đang diễn ra trên các máy Linux bằng mắt thường
Securelist cho biết thêm lý do tại sao mã độc này không được phát hiện sớm.
Mã độc được phát hiện trong chiến dịch này đã được biết đến từ năm 2013. Các phần cài đặt cuối cùng khá ồn ào và được chứng minh bởi nhiều bài đăng trên mạng xã hội. Theo dữ liệu theo dõi của chúng tôi, các nạn nhân của chiến dịch này được phân bố trên khắp thế giới, bao gồm Brazil, Trung Quốc, Ả Rập Saudi và Nga. Sự thật này, có thể có vẻ mâu thuẫn khi gói FreeDownloadManager độc hại vẫn không bị phát hiện trong hơn ba năm.
- Không giống như Windows, mã độc Linux hiếm khi được quan sát.
- Nhiễm mã độc với gói Debian độc hại xảy ra tuỳ theo từng mức độ xác suất: một số người dùng nhận được gói bị nhiễm, trong khi những người khác tải xuống phiên bản không gây hại.
- Người dùng mạng xã hội đang thảo luận các vấn đề liên quan đến Free Download Manager và họ không nghi ngờ rằng chúng được gây ra bởi mã độc.
Cập nhật phản hồi chính thức từ FDM team
Tôi có thể đọc và tóm tắt các ý chính cho các thành viên của chúng tôi hiểu rằng. Hệ thống của FDM đã bị nhóm hacker lạ xâm nhập và phát tán phần mềm độc hại. Số người bị nhiễm chiếm khoảng 0,1% người dùng của FDM. LL hổng này đã vô tình được giải quyết trong quá trình cập nhật trang web định kỳ vào năm 2022.Hiện tại FDM team đã khắc phục, FDM vẫn hoạt động bình thường, sạch .Greetings from the Miễn phí tải về Manager team. We acknowledge the reports regarding the security concerns and assure you that we're actively investigating their history. As of now, all links on the FDM website are secure and functional. For a comprehensive overview of the situation, we've made an official announcement on our website. We encourage everyone to get more insights here: https://www.freedownloadmanager.org/blog/?p=664
Cập nhật mới ngày 22/09/2023 từ FDM Team
Update 2: We have prepared a bash script that you can use to check the presence of malware in your system.
Launch Instructions:
- Download the linux_malware_check.sh script and give it execute permissions. You can do this by running:
chmod +x linux_malware_check.sh.Mã:https://files2.freedownloadmanager.org/linux_malware_check.sh
- Execute the script by running: ./linux_malware_check.sh.
We once again sincerely apologize for any inconvenience that might have been caused.
Theo Wiki : Free Download Manager, viết tắt là FDM, là trình quản lý tải xuống dành cho Windows, macOS, Linux và Android. FDM là phần mềm độc quyền, nhưng đã trở thành phần mềm mã nguồn mở và miễn phí giữa các phiên bản 2.5 và 3.9.7 FDM là phần mềm độc quyền, nhưng đã trở thành phần mềm mã nguồn mở và miễn phí giữa các phiên bản 2.5 và 3.9.7. Bắt đầu với phiên bản 3.0.852 (ngày 15 tháng 4 năm 2010), mã nguồn đã có sẵn trong kho lưu trữ Subversion của dự án thay vì được bao gồm trong gói nhị phân. Thay đổi này tiếp tục được áp dụng cho đến các phiên bản 3.9.7. Mã nguồn cho phiên bản 5.0 trở lên không có sẵn và thỏa thuận về Giấy phép Công cộng GNU đã bị xóa khỏi ứng dụng.
Thông tin bạn đọc có thể tham khảo tại securelist