موقع مدير التنزيل المجاني

موقع مدير التنزيل المجاني مصاب لتوزيع برامج ضارة لنظام Linux على المستخدمين لأكثر من 3 سنوات.

موقع مدير التنزيل المجاني مصاب لتوزيع برامج ضارة لنظام Linux على المستخدمين لأكثر من 3 سنوات. قام موقع مدير التنزيل بخدمة برامج ضارة لمستخدمي Linux سرقت بشكل خفي كلمات المرور وغيرها من المعلومات الحساسة لأكثر من ثلاث سنوات كجزء من هجوم على سلسلة التوريد.

اشتملت طريقة العمل على إنشاء غلاف عكسي إلى خادم يتحكم فيه الفاعل وتثبيت برنامج سرقة Bash على النظام المصاب. انتهت الحملة ، التي جرت بين عامي 2020 و 2022 ، ولم تعد نشطة.

وقال الباحثان في كاسبرسكي جورجي كوتشيرين وليونيد بزفيرشينكو: “يجمع هذا البرنامج الضار بيانات مثل معلومات النظام وسجل التصفح وكلمات المرور المحفوظة وملفات محفظة العملات المشفرة ، بالإضافة إلى بيانات اعتماد خدمات السحابة (AWS و Google Cloud و Oracle Cloud Infrastructure و Azure)”.

الموقع المعني هو freedownloadmanager [.] org ، والذي ، وفقًا لشركة الأمن السيبراني الروسية ، يقدم برنامج Linux شرعيًا يسمى “Free Download Manager” ، ولكن بدءًا من يناير 2020 ، بدأ في إعادة توجيه بعض المستخدمين الذين حاولوا تنزيله إلى مجال آخر deb.fdmpkg [.] org التي قدمت حزمة Debian محاصرة.

يُشتبه في أن مؤلفي البرامج الضارة قد هندسوا الهجوم بناءً على معايير تصفية محددة مسبقًا (على سبيل المثال ، بصمة رقمية للنظام) لتوجيه الضحايا المحتملين بشكل انتقائي إلى الإصدار الضار. انتهت عمليات إعادة التوجيه المارقة في عام 2022 لأسباب غير مبررة.

تحتوي حزمة Debian على نص ما بعد التثبيت يتم تنفيذه عند تثبيتها لإسقاط ملفين ELF ، / var / tmp / bs و backdoor قائم على DNS (/ var / tmp / crond) الذي يطلق غلافًا عكسيًا إلى خادم الأوامر والتحكم (C2) ، والذي يتم استلامه ردًا على طلب DNS إلى.

أحد المجالات الأربعة –

  • 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
  • c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
  • 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
  • c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org

وقال الباحثون: “بروتوكول الاتصال هو إما SSL أو TCP ، اعتمادًا على نوع الاتصال”. “في حالة SSL ، تقوم backdoor crond بتشغيل ملف / var / tmp / bs القابل للتنفيذ وتفوض جميع الاتصالات الإضافية إليه. بخلاف ذلك ، يتم إنشاء الغلاف العكسي بواسطة backdoor crond نفسه.”

الهدف النهائي للهجوم هو نشر برامج ضارة مسروقة وجمع بيانات حساسة من النظام. ثم يتم تحميل معلومات الجمع إلى خادم المهاجم باستخدام ثنائي محمل يتم تنزيله من خادم C2.

وقال كاسبرسكي إن crond هو نوع من الباب الخلفي المعروف باسم Bew والذي تم تداوله منذ عام 2013 ، بينما تم توثيق نسخة مبكرة من برامج ضارة Bash stealer في السابق بواسطة Yoroi في يونيو 2019.

ليس من الواضح على الفور كيف حدث الاختراق وما هي الأهداف النهائية للحملة. من الواضح أن ليس كل من قام بتنزيل البرنامج تلقى الحزمة المارقة ، مما مكنها من التهرب من الاكتشاف لسنوات.

وقال الباحثون: “على الرغم من أن الحملة غير نشطة حاليًا ، إلا أن حالة مدير التنزيل المجاني هذه توضح أنه قد يكون من الصعب للغاية اكتشاف الهجمات الإلكترونية المستمرة على أجهزة Linux بالعين المجردة”.

“وبالتالي. من الضروري أن تكون أجهزة Linux ، سواء كانت سطح المكتب أو الخادم ، مجهزة بحلول أمان موثوقة.

التوصيات الأمنية:

بالإضافة إلى التوصيات العامة للأمن السيبراني ، إليك بعض الخطوات المحددة التي يمكن للمستخدمين اتخاذها للحماية من الهجمات التي تستهدف برامج Linux:

  • تحقق من توقيعات الملفات قبل تثبيتها. يمكن أن يساعد ذلك في اكتشاف البرامج الضارة التي تم توقيعها بشكل مزيف.
  • استخدم برنامج مكافحة الفيروسات أو برنامج أمان آخر. يمكن أن يساعد هذا في اكتشاف وإزالة البرامج الضارة التي قد يتم تثبيتها على جهازك.
  • ابق على اطلاع بأحدث التحديثات الأمنية. تصدر شركات البرامج تحديثات أمنية بشكل منتظم لإصلاح الثغرات الأمنية.
  • كن حذرًا بشأن المواقع التي تزورونها والبرامج التي تقوم بتنزيلها. تجنب المواقع المشبوهة والبرامج المجانية التي لا تثق بها.

موقع مدير التنزيل المجاني مصاب لتوزيع برامج ضارة لنظام Linux على المستخدمين لأكثر من 3 سنوات. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة