В рамках новой атаки на цепочки поставок хакеры скомпрометировали веб-сайт известного менеджера загрузок JDownloader и заменили ссылки. Их главной целью было внедрение RAT-программы в системы жертв.
Сайт популярного кроссплатформенного менеджера загрузок JDownloader был ненадолго взломан, а ссылки на загрузку клиентского приложения оказались подменены. Пользователей перенаправляли на сторонний сайт, где размещались вредоносные версии программы — как минимум вариант для Windows содержал троян удаленного доступа, написанный на Python.
JDownloader представляет собой бесплатную утилиту, которая позволяет автоматически загружать файлы с файлообменников, видеохостингов и других платформ. Она доступна для Windows, Linux и macOS. Число пользователей этой программы по всему миру достигает миллионов.
Сайт оставался взломанным 6-7 мая, после чего его администраторы временно отключили ресурс, чтобы разобраться в инциденте и восстановить нормальную работу. Также они устранили уязвимость в системе управления контентом, которую использовали злоумышленники. По словам создателя JDownloader, компании Appwork, угроза касалась только тех, кто в указанные даты скачивал «альтернативные» установщики для Windows и Linux; для macOS хакеры не создавали поддельную версию.
Взлом не затронул основной пакет JDownloader или его расширения — злоумышленники не проникли на серверы компании Appwork.
Определить, подлинный ли клиент был загружен, просто: достаточно проверить цифровые подписи. Если разработчиком указана Appwork GmbH, значит, это «чистая» версия. Зараженные варианты могут указывать в качестве создателей Zipline LLC, The Water Team или что-то другое. Таких установщиков следует избегать.
В Appwork не стали детально анализировать вредоносное ПО из поддельных установщиков, но выложили архив с ними специально для экспертов по кибербезопасности.
По данным исследователя Томаса Клеменка (Thomas Klemenc), вредоносный компонент представляет собой тщательно замаскированный с помощью обфускации RAT-троян, который предоставляет злоумышленникам доступ к целевой системе и возможность запуска дополнительного вредоносного кода на Python. Этот код загружается с командных серверов.
Эксперты редакции издания BleepingComputer самостоятельно изучили Linux-версию скомпрометированных загрузчиков и выяснили, что в ней вредоносный код встроен в скрипт, загружающий архив, замаскированный под SVG-файл, с сайта checkinnhotels[.]com.
Из архива извлекаются два исполняемых файла ELF с именами pkg и systemd-exec. Второй устанавливается в каталог /usr/bin, затем установщик копирует основную «полезную нагрузку» в каталог /root/.local/share/.pkg, а также создает скрипт для обеспечения постоянства присутствия /etc/profile.d/systemd.sh. RAT-модуль запускается под видом /usr/libexec/upowerd.
Назначение и содержимое файла pkg остались невыясненными: по данным BleepingComputer, его код скрыт с помощью обфускации через Pyarmor.
Тем, кто по ошибке загрузил и установил поддельные инсталляторы, рекомендуется полностью переустановить операционную систему. Также нельзя исключать, что были украдены учетные данные, хранившиеся на устройствах, поэтому их тоже стоит сменить.
«К сожалению, это далеко не первый случай подобного рода за последние полтора месяца, — отмечает Михаил Зайцев, специалист по кибербезопасности компании SEQ. — В апреле аналогичным образом взломали сайт CPUID, а в начале этого месяца — сайт Daemontools; обе утилиты чрезвычайно популярны и имеют множество регулярных загрузок. Системы управления контентом, на которых работают современные сайты, часто содержат уязвимости — либо сами по себе, либо из-за сторонних плагинов».
Эксперт считает, что разработчикам популярных бесплатных утилит необходимо проверить все возможные пути проникновения в свою инфраструктуру — как внешние, так и внутренние. Очевидно, что речь идет о целенаправленной кампании.
