卡巴斯基研究人员近期披露了一个秘密植入后门三年之久的linux应用 free download manager。
网站 freedownloadmanager.org可向linux用户提供应用 free download manager,但从2020年开始,该域名会不定时的将用户重定向到另一个域名deb.fdmpkg.org下载恶意版本程序。此恶意版本包含的脚本会下载两个可执行文件到 /var/tmp/crond 和 /var/tmp/bs 中,然后使用 cron 定时任务调度器每 10 分钟执行一次 /var/tmp/crond 中的文件,这意味着系统被永久植入了后门。
安全研究人员发现,攻击者会收集系统信息、浏览历史、保存的密码、加密钱包文件以及云服务(aws、google cloud、oracle cloud infrastructure 和 azure)凭证等数据,将窃取的数据上传到其控制的服务器。恶意域名的重定向在 2022 年结束,该行动目前处于不活跃状态。
转自《网安》(https://www.wangan.com/news/11v79fee8930abd2)