Вредоносная программа на Linux воровала пароли пользователей 3 года — ее заметили только сейчас

Версия, доступная на вредоносном домене, содержала скрипт, который загружал два исполняемых файла в пути к файлам /var /tmp / crond и /var /tmp / bs. Затем скрипт использовал планировщик заданий cron, чтобы вызывать запуск файла в / var /tmp / crond каждые 10 минут. При этом устройства, на которых была установлена такая зараженная версия Free Download Manager, были постоянно заблокированы.

После доступа к IP-адресу вредоносного домена бэкдор запустил обратную оболочку, которая позволила злоумышленникам удаленно управлять зараженным устройством. Исследователи из российской компании Kaspersky Lab, обнаружившей вредоносное ПО, затем запустили бэкдор на лабораторном устройстве, чтобы понаблюдать за его поведением.

«Эта программа-похититель собирает такие данные, как системная информация, история посещенных страниц, сохраненные пароли, файлы криптовалютных кошельков, а также учетные данные для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure), — написали исследователи в своем отчете. — После сбора информации с зараженной машины злоумышленник загружает двоичный файл uploader с сервера C2, сохраняя его в /var/tmp/atd. Затем она использует этот двоичный файл для загрузки результатов выполнения программы-похитителя в инфраструктуру злоумышленников»

После поиска сообщений в социальных сетях, в которых обсуждался Free Download Manager, исследователи обнаружили, что некоторые пользователи, посетившие freedownloadmanager . org, получили безопасную версию приложения, в то время как другие были перенаправлены на один из следующих вредоносных доменов, которые обслуживали вредоносную версию.