Les experts de Kaspersky Lab https://securelist.com/backdoored-free ... re/110465/
ont identifié une campagne malveillante visant à implanter une porte dérobée dans les systèmes Linux. L'infection se produit lorsque vous essayez de télécharger un logiciel à partir du site Web Free Download Manager,
Selon Kaspersky, une cyber-campagne utilisant une version trojanisée du gestionnaire de téléchargement a débuté il y a plus de trois ans et est actuellement inactive.
Au cours de l'étude, des échantillons de logiciels malveillants remontant à 2013 ont été découverts ; des attaques ont été enregistrées au Brésil, en Chine, en Arabie Saoudite et en Russie.
Au cours de l'enquête, il a été constaté que le paquet malveillant était distribué à partir d'une ressource imitant le référentiel Debian d'un gestionnaire de téléchargement gratuit.
Pour rediriger, une redirection a été créée sur le site officiel de Free Download Manager.
Il est à noter que tous ceux qui souhaitaient télécharger un programme utile pour Linux n'ont pas accédé à la fausse ressource ; il est possible que les visiteurs se soient distingués par leurs empreintes digitales.
Distribué à partir d'un site Web légitime, le malware est un outil d'accès à distance qui crée un shell inversé pour faciliter le vol d'informations.
Le logiciel malveillant utilisé dans cette campagne établit un shell inversé vers un serveur C2 et installe un Bash stealer qui collecte les données des utilisateurs
Code : Tout sélectionner
- données du système,
- l'historique du navigateur,
- les mots de passe enregistrés,
- les données du portefeuille cryptographique
- les comptes de services cloud tels qu'AWS, Google Cloud, Oracle Cloud Infrastructure et les services cloud Azure.
- les clés d'authentification RMM,
- l'historique du shell
Kaspersky a découvert ce cas de compromission potentielle de la chaîne d’approvisionnement en enquêtant sur des domaines suspects, et a constaté que la campagne était en cours depuis plus de trois ans.
Kaspersky a découvert que la porte dérobée crond est une variante du logiciel malveillant ” Bew ” en circulation depuis 2013, le voleur Bash ayant été repéré dans la nature et analysé pour la première fois en 2019. Cela dit, l’ensemble d’outils n’est pas nouveau.
Pour accéder à l'API Linux, le malware utilise des appels système (à l'aide de dietlibc).
Une fois lancé, il recherche un serveur C2 en demandant un sous-domaine fdmpkg[.]org spécialement créé.
Bien que l’entreprise de cybersécurité ait informé l’éditeur de logiciels, elle n’a pas reçu de réponse, de sorte que les moyens exacts de compromission restent flous."La situation avec Free Download Manager démontre que les cyberattaques sur Linux peuvent rester longtemps indétectables", commente Leonid Bezvershenko, expert de Kaspersky. "Pour éviter cela, il est impératif de prendre des mesures de sécurité efficaces pour les ordinateurs et les serveurs exécutant ce système d'exploitation."
BleepingComputer a également contacté l’éditeur de Free Download Manager pour obtenir un commentaire, mais n'apas eu de réponse
Source principale et autres détails
https://www.bleepingcomputer.com/news/s ... for-years/