Site do Free Download Manager redirecionou usuários do Linux para malware por anos
13 de Setembro de 2023

Um ataque relatado na cadeia de suprimentos do Free Download Manager redirecionou os usuários do Linux para um repositório de pacotes Debian malicioso que instalava um malware de roubo de informações.

O malware usado nesta campanha estabelecia um shell reverso para um servidor C2 e instalava um ladrão de Bash que coleta dados do usuário e credenciais de contas.

A Kaspersky descobriu o potencial caso de comprometimento da cadeia de suprimentos enquanto investigava domínios suspeitos, descobrindo que a campanha está em andamento há mais de três anos.

Embora a empresa de cibersegurança tenha informado o fornecedor de software, não recebeu uma resposta, então o exato meio de comprometimento permanece obscuro.

O BleepingComputer também entrou em contato com o fornecedor do Free Download Manager para obter um comentário, mas não obtivemos retorno até o momento da publicação.

A Kaspersky diz que a página oficial de download hospedada em "freedownloadmanager[.]org" às vezes redirecionava aqueles que tentavam baixar a versão para Linux para um domínio malicioso em "deb.fdmpkg[.]org", que hospeda um pacote Debian malicioso.

Devido a este redirecionamento ocorrer apenas em alguns casos e não em todas as tentativas de downloads do site oficial, é hipotizado que os scripts miravam usuários com downloads maliciosos baseados em critérios específicos, mas desconhecidos.

A Kaspersky observou várias postagens nas redes sociais, Reddit, StackOverflow, YouTube e Unix Stack Exchange, onde o domínio malicioso foi disseminado como uma fonte confiável para obter a ferramenta Free Download Manager.

Além disso, uma postagem no site oficial do Free Download Manager em 2021 mostra como um usuário infectado aponta o domínio malicioso 'fdmpkg.org' e é informado de que ele não está afiliado ao projeto oficial.

Nos mesmos sites, os usuários discutiam problemas com o software nos últimos três anos, trocando opiniões sobre arquivos suspeitos e tarefas cron que ele criava, nenhum deles percebendo que estavam infectados com um malware.

Embora a Kaspersky afirme que o redirecionamento parou em 2022, vídeos antigos do YouTube [1, 2] mostram claramente links de download no oficial Free Download Manager, redirecionando alguns usuários para a URL do http://deb.fdmpkg[.]org malicioso em vez de freedownloadmanager.org.

No entanto, este redirecionamento não foi usado para todos, com outro vídeo da mesma época mostrando um usuário baixando o programa a partir da URL oficial.

O pacote Debian malicioso, que é usado para instalar softwares em distribuições Linux baseadas no Debian, incluindo Ubuntu e forks baseados no Ubuntu, solta um script de roubo de informações do Bash e um backdoor do crond que estabelece um shell reverso a partir do servidor C2.

O componente crond cria uma nova tarefa cron no sistema que executa um script de roubo ao iniciar o sistema.

A Kaspersky descobriu que o backdoor do crond é uma variante do malware 'Bew' em circulação desde 2013, com o ladrão de Bash detectado e analisado pela primeira vez em 2019. Dito isso, o conjunto de ferramentas não é novo.

A versão do Bash Stealer analisada pela Kaspersky coleta informações do sistema, histórico de navegação, senhas salvas nos navegadores, chaves de autenticação RMM, histórico de shell, dados de carteira de criptomoedas e credenciais de contas para AWS, Google Cloud, Oracle Cloud Infrastructure e serviços em nuvem do Azure.

Esses dados coletados são então enviados para o servidor dos invasores, onde podem ser usados para realizar mais ataques ou vendidos a outros atores de ameaças.

Se você instalou a versão Linux do Free Download Manager entre 2020 e 2022, deve verificar se a versão maliciosa foi instalada.

Para fazer isto, procure os seguintes arquivos deixados pelo malware, e se encontrados, delete eles:

/etc/cron.d/collect
/var/tmp/crond
/var/tmp/bs

Apesar da idade das ferramentas maliciosas utilizadas nesses ataques, os sinais de atividade suspeita em computadores infectados e vários relatórios nas redes sociais, o pacote Debian malicioso permaneceu indetectado por anos.

A Kaspersky diz que isso se deve a uma combinação de fatores, incluindo a raridade de malwares no Linux e a propagação limitada, pois apenas uma parte dos usuários era redirecionada para a URL não oficial.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...