Разработчики Free Download Manager (FDM) выпустили скрипт для проверки ПК на Linux на зловреда (в случае выявления заражения рекомендуется переустановка ОС) и пояснили, почему на протяжении трёх лет их сайт использовался для распространения заражённого трояном установщика FDM для Linux.
В начале сентября специалисты «Лаборатории Касперского» обнаружили вредоносную кампанию, длившуюся более трёх лет. В ходе этого инцидента легитимное ПО Free Download Manager, используемое для установки приложений, имело бэкдор на устройства с ОС Linux. Устройства пользователей заражались при попытке загрузить программное обеспечение с официального сайта Free Download Manager. Специалисты ИБ‑компании считают, что могла быть атака на цепочку поставок. Под заражение трояном могли попасть пользователи из Бразилии, Китая, Саудовской Аравии и России.
Бэкдор представлял собой разновидность трояна для удалённого доступа. С заражённого устройства злоумышленники могли похищать различную информацию, в том числе сведения о системе, историю браузера, сохранённые пароли, данные криптовалютных кошельков и даже учётные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.
Разработчики FDM провели расследования этой серьёзной проблемы безопасности в проекте и выяснили, что это их ошибка. Фактически они несколько лет игнорировали сообщения об уязвимостях от ИБ-исследователей из-за бага в своей контактной системе. Оказалось, что в течение некоторого времени многие пользователи пытались сообщить в FDM о необычном поведении системы после установки вредоносного установщика, но разработчики проекта их не видели.
В FDM выяснили, что от трояна на сайте потенциально пострадала лишь небольшая группа пользователей, особенно те, кто пытался загрузить дистрибутив FDM для Linux в период с 2020 года по 2022 год. Вероятно, именно из-за ограниченного масштаба проблема до сих пор оставалась незамеченной, а уязвимость была случайно устранена во время планового обновления сайта в 2022 году.
Проанализировав резервные копии проекта, начиная с 2020 года, разработчики обнаружили изменённую страницу, которая содержала алгоритм, который выбирал, давать ли пользователям правильную ссылку для скачивания или ссылку, ведущую на поддельный домен deb.fdmpkg[.]org с вредоносным файлом с трояном. Как выяснилось, у него был «список исключений» для IP-адресов из различных подсетей, в том числе связанных с Bing и Google. Посетителям с этих подсетей всегда предоставлялась правильная ссылка для загрузки.
Разработчики выразили пользователям своё сожаление по поводу случившегося и рекомендовали всем скачавшим FDM для Linux в течение 2020-2022 годов проверить свои компьютеры на наличие вредоносного ПО, заверив, что пользователи Windows и Mac не пострадали. Они заверили, что атака на цепочку поставок затронула менее 0,1% посетителей сайта FDM.
В FDM выпустили скрипт на bash для проверки ПК на Linux. Стоит учитывать, что этот скрипт только определяет наличие на ПК потенциальных угроз, но не удаляет их. При обнаружении вредоносного ПО разработчики Free Download Manager настоятельно рекомендуют переустановить ОС.
