В загрузчике JDownloader нашли установщики для Windows и Linux с трояном
3 мин
8
1
Пользователи менеджера загрузок JDownloader скачивали с него установщики для Windows и Linux, которые были заражены трояном удалённого доступа на Python. На Windows заражение осуществлялось при переходе по ссылкам из блока «Загрузить альтернативные инсталляторы», а на Linux — через шелл-установщик. Атакующие изменили ссылки так, чтобы по ним исполнялась вредоносная нагрузка. JDownloader был скомпрометирован в ночь с 6 на 7 мая.
Популярный бесплатный сервис, который поддерживает автоматические загрузки с хостингов и видеоплощадок. Он существует уже более 10 лет и используется миллионами владельцев устройств на Windows, Linux и macOS.
Первым об атаке сообщил пользователь Reddit под ником PrinceOfNightSky. Он заметил, что Microsoft Defender отметил загрузку как опасную. Настраивая новый компьютер, пострадавший решил установить актуальную версию загрузчика. Несмотря на загрузку с официального сайта, все файлы были помечены как вредоносное программное обеспечение. В информации о разработчике для разных файлов отображались Zipline LLC и The Water Team. Маскировка была настолько убедительной, что заметивший неладное пользователь сначала принял уведомления системы за ложную тревогу и попытался обойти их вручную. Так же поступили и многие другие загрузившие заражённые файлы.
Представитель JDownloader позднее подтвердил, что сайт был скомпрометирован, и перевёл ресурс в офлайн для расследования. К 9 мая все вредоносные ссылки были заменены на изначальные. В отчёте по инциденту уточняется, что атакующие использовали неисправленную уязвимость, которая позволила им менять настройки доступа и содержимое площадки без какой-либо аутентификации. Все изменения злоумышленники осуществляли через CMS. Разработчик особо уточнил, что трояном оказались заражены только установщики Windows и Linux. Содержимое для загрузок macOS, Flatpak, Winget, Snap, а также JDownloader JAR не менялось.
Хакер присутствовал в системе JDownloader как минимум за сутки до произошедшего. Изучение логов показало, что 5 мая он протестировал свою тактику на странице с крайне низкой посещаемостью и именно поэтому остался незамеченным. ИБ-исследователь Takia_Gecko выяснил, что использованный для атаки троян позволял выполнять сторонний код на Python на любом заражённом устройстве по желанию атакующего.
