Во время очередной атаки на цепочки поставок киберпреступники взломали сайт известного менеджера загрузок JDownloader и заменили ссылки. Их главной целью было внедрение RAT-программы в системы жертв.
Веб-сайт популярного кроссплатформенного менеджера загрузок JDownloader был ненадолго взломан, а ссылки на загрузку клиентской программы были подменены. Пользователей перенаправляли на сторонний ресурс, где размещались вредоносные версии клиентской программы — как минимум, версия для Windows содержала троян удаленного доступа на Python.
JDownloader — это бесплатная утилита, которая позволяет автоматизировать загрузку с файловых хостингов, видеосайтов и других платформ. Доступны версии для Windows, Linux и macOS. Число пользователей этой утилиты по всему миру достигает многих миллионов.
Сайт оставался скомпрометированным 6-7 мая, после чего его операторы временно отключили его, чтобы разобраться в инциденте и восстановить нормальную работу. Заодно они устранили уязвимость в системе управления контентом, которую использовали злоумышленники. По заявлению создателя JDownloader, компании Appwork, угроза от инцидента касалась только тех, кто в указанные даты скачивал «альтернативные» установщики для Windows и Linux; для macOS злоумышленники не создавали поддельную версию.
Взлом не затронул ни основной пакет JDownloader, ни его расширения — злоумышленники не проникли на серверы компании Appwork.
Определить, является ли скачанный клиент подлинным или поддельным, легко: достаточно проверить цифровые подписи. Если в качестве разработчика указана Appwork GmbH, значит, это «чистая» версия. Троянизированные варианты могут указывать в качестве создателей Zipline LLC, The Water Team или что-то еще. Таких установщиков следует избегать.
В Appwork не стали детально изучать вредонос из поддельных установщиков, однако выложили архив с ними специально для экспертов в области кибербезопасности.
По данным исследователя Томаса Клеменка (Thomas Klemenc), вредоносный компонент представляет собой тщательно замаскированный обфускацией RAT-троян, который предоставляет злоумышленникам доступ к целевой системе и возможность запуска дополнительного вредоносного кода на Python. Этот код загружается с командных серверов.
Эксперты редакции издания BleepingComputer самостоятельно изучили Linux-вариант скомпрометированных загрузчиков и выяснили, что в нем вредоносный код встроен в скрипт, который загружает замаскированный под SVG-файл архив с сайта checkinnhotels[.]com.
Из архива извлекаются два исполняемых файла ELF под названиями pkg и systemd-exec. Второй устанавливается в каталог /usr/bin, затем установщик копирует основную «полезную нагрузку» в каталог /root/.local/share/.pkg, а также создает скрипт, обеспечивающий постоянное присутствие /etc/profile.d/systemd.sh. RAT-модуль запускается под видом /usr/libexec/upowerd.
Выяснить точное содержимое и предназначение файла pkg не удалось: по информации BleepingComputer, его код защищён обфускацией с использованием Pyarmor.
Тем, кто по ошибке загрузил и установил поддельные инсталляторы, настоятельно рекомендуется переустановить операционную систему. Также нельзя исключать, что учётные данные, хранившиеся на устройствах, оказались скомпрометированы, поэтому их необходимо сменить.
«К сожалению, это далеко не первый случай такого рода за последние полтора месяца, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — В апреле аналогичным образом был взломан сайт CPUID, а в начале этого месяца — сайт Daemontools; оба ресурса принадлежат очень популярным утилитам с большим числом регулярных загрузок. Системы управления контентом, на которых работают современные сайты, довольно часто содержат уязвимости — либо сами по себе, либо из-за сторонних плагинов».
Эксперт считает, что разработчикам популярных бесплатных утилит стоит проверить все возможные пути проникновения в их инфраструктуру, как внешние, так и внутренние. Очевидно, что речь идёт о целенаправленной кампании.
