В ночь с шестого на седьмое
Веб-сайт популярного кроссплатформенного менеджера скачиваний JDownloader оказался на непродолжительный срок взломан, и ссылки на скачивания клиентской программы были подменены. Пользователей перенаправляли на сторонний ресурс, где были размещены вредоносные версии клиентской программы - как минимум, версия под Windows была «заряжена» троянцем удаленного доступа на Python.
JDownloader - бесплатная утилита, которая поддерживает автоматизированное скачивание с файловых хостингов, видеосайтов и других ресурсов. Доступны версии под Windows, Linux и macOS. Количество пользователей этой утилиты по всему миру составляет многие миллионы.
Сайт оставался скомпрометированным 6-7 мая, после чего его операторы временно отключили его, чтобы разобраться в инциденте и восстановить нормальное функционирование. Заодно они устранили уязвимость в системе управления контентом, которой воспользовались злоумышленники. По утверждению создателя JDownloader, компании Appwork, угрозу инцидент составлял только для тех, кто в указанные даты выкачивал «альтернативные» инсталляторы под Windows и Linux; для macOS злоумышленники поддельной версии создавать не стали.
Ни основной пакет JDownloader, ни его расширения взлом не затронул - злоумышленники не пролезли на серверы компании Appwork.
Определить, является ли скачанный клиент подлинным или поддельным, легко: достаточно просмотреть цифровые подписи. Если в качестве разработчика указана Appwork GmbH, значит, это «чистая» версия. Троянизированные варианты могут указывать в качестве создателей Zipline LLC, The Water Team или что-то еще. Этих инсталляторов следует избегать.
В Appwork не стали пристально изучать вредонос из мнимых инсталляторов, однако выложили архив с ними специально для экспертов в сфере кибербезопасности.
По сведениям исследователя Томаса Клеменка (Thomas Klemenc), вредоносный компонент представляет собой тщательно замаскированный обфускацией RAT-троянец, обеспечивающий злоумышленникам возможность доступа в целевую систему и запуск дополнительного вредоносного кода на Python. Этот код подгружается с командных серверов.
Linux-вариант
Эксперты редакции издания BleepingComputer самостоятельно изучили Linux-вариант скомпрометированных загрузчиков, и выяснили, что в нем вредоносный код встроен в скрипт, выкачивающий замаскированный под SVG-файл архив с сайта checkinnhotels[.]com.
Из архива извлекаются два исполняемых файла ELF под названиями pkg и systemd-exec. Второй устанавливается в каталог /usr/bin, затем инсталлятор копирует основную «полезную нагрузку» в каталог /root/.local/share/.pkg, а также задает скрипт, обеспечивающий постоянство присутствия /etc/profile.d/systemd.sh. RAT-модуль запускается под видом /usr/libexec/upowerd.
Содержание и функциональное назначение файла pkg выяснить не удалось: как пишет BleepingComputer, код защищен обфускацией с применением Pyarmor.
Тем, кто имел неосторожность загрузить и установить ложные инсталляторы, рекомендовано переустановить операционную систему. Нельзя исключать и того, что были скомпрометированы учетные данные, хранившиеся на устройствах, так что их также следует поменять.
«Это, увы, далеко не первый инцидент подобного рода за последние полтора месяца, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - В апреле аналогичным образом был скомпрометирован сайт CPUID, в начале этого месяца - сайт Daemontools, и то, и другое - очень популярные утилиты, с большим количеством регулярных скачиваний. Системы управления контентом, на которых работают все современные сайты довольно часто изобилуют уязвимостями - либо сами по себе, либо вследствие сторонних плагинов».
По мнению эксперта, разработчикам популярных бесплатных утилит следует проверить все возможные пути вторжения в их инфраструктуру, внешнюю и внутреннюю. Речь явно идет о целой кампании.
Поделиться
