Per più di tre anni, un malware ha infettato gli utenti Linux che scaricavano software da un sito web. Il malware rubava le password e altre informazioni sensibili degli utenti (dettagli di sistema, cronologia di navigazione, file dei wallet di criptovalute e credenziali dei servizi cloud), senza essere rilevato. A renderlo noto sono stati gli esperti di Kaspersky.
Malware Linux nascosto per 3 anni in un sito di download
Il sito, Free Download Manager.org, offriva una versione innocua di un pacchetto Linux noto come Free Download Manager. A partire dal 2020, lo stesso dominio a volte reindirizzava gli utenti al dominio deb.fdmpkg.org, che distribuiva una versione dannosa dell’applicazione. La versione disponibile sul dominio dannoso conteneva uno script che scaricava due file eseguibili nei percorsi file /var/tmp/crond e /var/tmp/bs.
Lo script utilizzava quindi il JobScheduler cron per lanciare il file /var/tmp/crond ogni 10 minuti. Di conseguenza, i dispositivi che avevano installato la versione trappola di Free Download Manager sono stati dirottati in modo permanente. Dopo l’accesso a un indirizzo IP del dominio dannoso, la backdoor lanciava una reverse shell che consentiva agli aggressori di controllare in remoto il dispositivo infetto.
I ricercatori di Kaspersky, che hanno scoperto il malware, hanno quindi analizzato la backdoor su un dispositivo di test per osservarne il comportamento. Non si sa perché il sito di download abbia distribuito la versione sicura del software ad alcuni visitatori e abbia reindirizzato gli altri a un dominio dannoso. In ogni caso, i reindirizzamenti dannosi sono terminati nel 2022 per ragioni sconosciute.
La backdoor è una versione aggiornata del malware rintracciato con il nome di Bew, rilasciato nel 2014. Bew è stato uno dei componenti utilizzati in un attacco nel 2017. La cosiddetta backdoor thief è stata installata in una campagna del 2019 dopo aver sfruttato prima una vulnerabilità nel server di posta Exim.
Le dichiarazioni di Kaspersky
Come ha dichiarato Georgy Kucherin, Security Expert di GReAT, Kaspersky:”Sebbene la campagna sia attualmente inattiva, questo caso di Free Download Manager dimostra che può essere piuttosto difficile rilevare a occhio nudo i cyberattacchi in corso su macchine Linux. Il malware osservato durante questa campagna è noto dal 2013. Secondo i nostri dati di telemetria, le vittime di questa campagna si trovano in tutto il mondo, tra cui Brasile, Cina, Arabia Saudita e Russia. Alla luce di questi fatti, può sembrare paradossale che il pacchetto malevolo Free Download Manager sia rimasto inosservato per così tanto tempo. A differenza di Windows, il malware per Linux è molto meno comune. Gli utenti dei social network che discutevano dei problemi con Free Download Manager non sospettavano che fossero causati da malware“.
Come evitare le minacce
Per proteggersi dalle minacce, Kaspersky consiglia di seguire queste precauzioni di sicurezza:
- Optare per una soluzione di sicurezza endpoint di qualità, come Kaspersky Endpoint Security for Business, che offre funzionalità di controllo del comportamento e delle anomalie per difendersi efficacemente da minacce conosciute e ignote.
- Impiegare Kaspersky Embedded Systems Security, una soluzione flessibile e multi-livello che garantisce una sicurezza ottimale per i sistemi, i dispositivi e gli ambienti basati su Linux, in linea con gli elevati standard normativi, spesso richiesti per questi sistemi.
- Usare Kaspersky Digital Footprint Intelligence per tenere d’occhio le risorse nascoste e rilevare in tempo le minacce correlate, poiché le credenziali rubate potrebbero essere vendute sul dark-web.
Per motivi di accuratezza e completezza della notizia includiamo la dichiarazione ufficiale di FDM:
“Abbiamo anche scoperto un problema con uno dei nostri moduli di contatto che avrebbe potuto impedire una comunicazione tempestiva, presumibilmente era il modulo utilizzato dai rappresentanti di Kaspersky Lab per contattarci. Se hai tentato di contattarci in merito a questo o qualsiasi problema correlato senza ricevere feedback, contattaci nuovamente all’indirizzo support@freedownloadmanager.org.
Ci scusiamo sinceramente per qualsiasi inconveniente o preoccupazione che ciò potrebbe causare. Garantire la tua sicurezza digitale rimane al centro dei nostri sforzi e siamo fermi nel nostro impegno a salvaguardare la tua fiducia.
…
Aggiornamento 18/08/2023: la nostra indagine ha dimostrato che gli hacker hanno sfruttato una vulnerabilità in uno script sul nostro sito per introdurre un file dannoso utilizzato per modificare la pagina https://www.freedownloadmanager.org/download-fdm-for-linux.htm
Per indagare su questo problema, abbiamo avuto accesso ai dati dei backup del nostro progetto risalenti al 2020 e abbiamo trovato questa pagina modificata, che conteneva un algoritmo che sceglieva se fornire agli utenti il collegamento di download corretto o quello che portava al dominio falso deb.fdmpkg.org contenente un file dannoso file .deb. Aveva una «lista di eccezioni» di indirizzi IP di diverse sottoreti, comprese quelle associate a Bing e Google. Ai visitatori provenienti da questi indirizzi IP veniva sempre fornito il collegamento per il download corretto.
Siamo davvero dispiaciuti per l’accaduto e chiediamo nuovamente ai nostri utenti che hanno scaricato FDM per Linux nel 2020-2022 di controllare la presenza di malware sui loro computer. Inoltre vogliamo rassicurare tutti i nostri utenti Windows e Mac che per loro il nostro sito web è sicuro.
Aggiornamento 22/08/2023:
Alla luce dei recenti problemi di sicurezza legati a FDM, ha sviluppato uno script bash che consente agli utenti di verificare la presenza di malware sui propri sistemi. Lo script e le istruzioni sono ora disponibili sul sito ufficiale: https://www.
freedownloadmanager.org/blog/? p=664“
Ti potrebbe interessare
22 set 2023