Разработчики Free Download Manager опубликовали скрипт, который позволит пользователям проверить, не было ли их Linux -устройство скомпрометировано в ходе атаки на цепочку поставок. Дело в том, что недавно «Лаборатория Касперского» обнаружила бэкдор, который несколько лет скрывался в коде этого популярного менеджера загрузок для Linux.
На прошлой неделе «Лаборатория Касперского» сообщила об обнаружении вредоносной кампании, которая длилась более трех лет и была связана с Free Download Manager. Оказалось, что это легитимное ПО для установки приложений использовалось для распространения Linux-бэкдора, так как злоумышленники скомпрометировали официальный сайт Free Download Manager (freedownloadmanager[.]org).
В итоге, если жертва открывала сайт Free Download Manager, а затем нажимала на кнопку загрузки Linux-версии, в некоторых случаях ее перенаправляло на вредоносный URL-адрес, с которого скачивалась вредоносная версия ПО, выпущенная в 2020 году.
Такие атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.
Бэкдор представлял собой разновидность трояна для удаленного доступа. С зараженного устройства злоумышленники могли похищать различную информацию, в том числе сведения о системе, историю браузера, сохраненные пароли, данные криптовалютных кошельков и даже учетные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.
Уже после выхода отчета экспертов, разработчики Free Download Manager подтвердили, что теория исследователей верна, — произошла атака на цепочку поставок, и еще в 2020 году «определенная страница на сайте была скомпрометирована украинской хакерской группой, которая использовала ее для распространения вредоносного программного обеспечения». При этом в официальном заявлении подчеркивалось, что атаки затронули менее 0,1% посетителей сайта.
Уязвимость, которая позволила злоумышленникам внедрить вредоносный код на страницу загрузки, была случайно устранена во время планового обновления в 2022 году.
Теперь разработчики Free Download Manager опубликовали специальный скрипт, который можно использовать для сканирования машин под управлением Linux, чтобы проверить, не были ли они заражены вредоносным ПО, обнаруженным «Лабораторией Касперского». Его запуск осуществляться следующим образом:
chmod +x linux_malware_check.sh
./linux_malware_check.sh
Отмечается, что сканер способен только обнаружить малварь (проверяя наличие некоторых файлов в системе), но не может удалить ее. Это пользователю придется проделать вручную или прибегнуть к помощи дополнительных ИБ-инструментов. Сами разработчики FDM рекомендуют в таком случае переустановить систему.
