Кампания по краже информации ведется уже как минимум три года и осталась совершенно незамеченной, сообщает российская фирма по кибербезопасности. Касперский выявил.
Это открытие было сделано после того, как компания решила изучить растущее число атак на базе Linux, которые «могут действовать годами, не будучи замеченными сообществом кибербезопасности».
В частности, в этом примере основное внимание уделяется бесплатному менеджеру загрузок, предназначенному для использования на машинах Debian, который доступен в своей вредоносной форме с января 2020 года.
Вредоносное ПО диспетчера загрузок Debian
Зараженные версии загружаемого программного обеспечения содержат зараженный скрипт postinst, запускаемый при установке, который, по словам аналитиков, содержит комментарии на русском и украинском языках.
После загрузки и установки зараженной версии программного обеспечения для дальнейшего расследования сотрудники «Лаборатории Касперского» обнаруживают, что установлен вор Bash для сбора такой информации, как системная информация, история просмотров, сохраненные пароли, файлы криптовалютных кошельков и учетные данные для облачных сервисов — в частности, AWS, Google. Облако, облачная инфраструктура Oracle, Azure.
К счастью, исследователи также выяснили, как распространялась вредоносная версия программного обеспечения. Они подтвердили, что официальный сайт и его содержимое не были скомпрометированы, и действительно, версия с кражей информации была размещена в онлайн-сообществах, таких как Reddit и StackOverflow, в течение примерно двух лет.
Настоящие создатели Free Download Manager были уведомлены Касперским, хотя на момент написания они не ответили.
По словам Касперского, злоумышленник специально нацелился на машины с Linux, поскольку их анализируют гораздо реже, чем устройства с Windows и macOS, просто из соображений популярности.
Тем не менее, есть несколько очень простых шагов, которые пользователи могут предпринять, чтобы защитить себя в Интернете. Самое главное, пользователи должны загружать файлы только из законных источников и проверять такие вещи, как домены и адреса электронной почты, на предмет того, что было проверено как законное. Если бы вы это сделали, вы бы спасли жертв от этого случая вредоносного ПО.
