Эксперты компании сообщили, что вредоносная кампания с использованием Free Download Manager длилась более трех лет. В ходе атак легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением Linux. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.
Схема атаки
Как правило, жертвы заражались при попытке загрузить софт с официального сайта Free Download Manager (freedownloadmanager[.]org), то есть, скорее всего, речь идет об атаке на цепочку поставок.
Если жертва открывала легитимный сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях ее перенаправляло на вредоносный URL-адрес, с которого скачивалась вредоносная версия, выпущенная в 2020 году.
После запуска файла на устройстве жертвы устанавливался бэкдор — разновидность трояна для удаленного доступа. С зараженного устройства злоумышленники могли похищать различную информацию, в том числе сведения о системе, историю браузера, сохраненные пароли, данные криптовалютных кошельков и даже учетные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.
При этом отмечается, что некоторые образцы малвари, использованного в этой кампании, впервые были выявлены еще в 2013 году, а вредонос представляет собой модифицированную версию бэкдора Bew. Этот вредонос не раз подвергался анализу. Одно из первых описаний было опубликовано в 2014 году. В дополнение к этому в 2017 году ЦЕРН опубликовала сообщение о кампании BusyWinman с использованием Bew. По данным ЦЕРН, заражение Bew происходило через drive-by загрузки.
Исследователи полагают, что произошедшее могло представлять собой атаку на цепочку поставок. Так, в ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения, хотя в других видео загружалась легитимная версия ПО.
Эксперты делают вывод, что разработчики малвари предусмотрели, что жертва перенаправлялась на вредоносную версию ПО «с определенной степенью вероятности или на основе цифрового следа потенциальной жертвы». В результате некоторые пользователи сталкивались с малварью, а другие получали легитимный софт.
В отчете отмечается, что компания связалась с разработчиками Free Download Manager и сообщила им об этой кампании, но пока не получила ответа.
Схема атаки
Как правило, жертвы заражались при попытке загрузить софт с официального сайта Free Download Manager (freedownloadmanager[.]org), то есть, скорее всего, речь идет об атаке на цепочку поставок.
Если жертва открывала легитимный сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях ее перенаправляло на вредоносный URL-адрес, с которого скачивалась вредоносная версия, выпущенная в 2020 году.
После запуска файла на устройстве жертвы устанавливался бэкдор — разновидность трояна для удаленного доступа. С зараженного устройства злоумышленники могли похищать различную информацию, в том числе сведения о системе, историю браузера, сохраненные пароли, данные криптовалютных кошельков и даже учетные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.
При этом отмечается, что некоторые образцы малвари, использованного в этой кампании, впервые были выявлены еще в 2013 году, а вредонос представляет собой модифицированную версию бэкдора Bew. Этот вредонос не раз подвергался анализу. Одно из первых описаний было опубликовано в 2014 году. В дополнение к этому в 2017 году ЦЕРН опубликовала сообщение о кампании BusyWinman с использованием Bew. По данным ЦЕРН, заражение Bew происходило через drive-by загрузки.
Исследователи полагают, что произошедшее могло представлять собой атаку на цепочку поставок. Так, в ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения, хотя в других видео загружалась легитимная версия ПО.
Эксперты делают вывод, что разработчики малвари предусмотрели, что жертва перенаправлялась на вредоносную версию ПО «с определенной степенью вероятности или на основе цифрового следа потенциальной жертвы». В результате некоторые пользователи сталкивались с малварью, а другие получали легитимный софт.
В отчете отмечается, что компания связалась с разработчиками Free Download Manager и сообщила им об этой кампании, но пока не получила ответа.
