Троянец для Linux три года крал пароли и данные облачных сервисов

Всё началось с сайта freedownloadmanager.org. Казалось бы, легитимный источник для загрузки популярного менеджера закачек. Но начиная с 2020 года этот домен периодически перенаправлял пользователей на подозрительный deb.fdmpkg.org. И там уже ждала не та программа, которую вы просили.

Вместо безобидного менеджера вам подсовывали версию со скрытым скриптом. Этот скрипт тихо загружал два исполняемых файла в системные папки /var/tmp/crond и /var/tmp/bs. А дальше в дело вступал планировщик cron, который каждые 10 минут запускал один из этих файлов, намертво блокируя устройство. Представьте: ваш Linux, который должен быть оплотом стабильности, вдруг перестаёт слушаться. Зловеще, правда?

Как только связь с IP-адресом зловредного домена устанавливалась, на устройстве активировался бэкдор. Он открывал обратную оболочку, давая злоумышленникам полный удалённый контроль. Исследователи из «Лаборатории Касперского», обнаружившие эту атаку, запустили бэкдор в лаборатории, чтобы увидеть всё своими глазами. То, что они увидели, впечатляет — в плохом смысле слова.

Что именно крала эта программа?

Это был настоящий цифровой грабитель. Он собирал всё подряд: системную информацию, историю браузера, сохранённые пароли, файлы криптокошельков и даже учётные данные для облачных сервисов вроде AWS, Google Cloud, Oracle и Azure. После сбора «урожая» зловред загружал с командного сервера специальный двоичный файл-загрузчик и с его помощью отправлял все данные злоумышленникам. По сути, ваша машина превращалась в шпиона.

Исследователи изучили обсуждения в соцсетях и выяснили любопытную деталь: не все посетители того самого сайта получали вредоносную версию. Некоторым везло — они скачивали чистую программу. Других же перебрасывало на один из вредоносных доменов. Получается, атака была избирательной. Это заставляет задуматься: а как выбирали жертв? По геолокации? По времени? Остаётся только гадать.