Um ataque relatado na cadeia de suprimentos do Free Download Manager redirecionou os usuários do Linux para um repositório de pacotes Debian malicioso que instalava um malware de roubo de informações.
O malware usado nesta campanha estabelecia um shell reverso para um servidor C2 e instalava um ladrão de Bash que coleta dados do usuário e credenciais de contas.
A Kaspersky descobriu o potencial caso de comprometimento da cadeia de suprimentos enquanto investigava domínios suspeitos, descobrindo que a campanha está em andamento há mais de três anos.
Embora a empresa de cibersegurança tenha informado o fornecedor de software, não recebeu uma resposta, então o exato meio de comprometimento permanece obscuro.
O BleepingComputer também entrou em contato com o fornecedor do Free Download Manager para obter um comentário, mas não obtivemos retorno até o momento da publicação.
A Kaspersky diz que a página oficial de download hospedada em "freedownloadmanager[.]org" às vezes redirecionava aqueles que tentavam baixar a versão para Linux para um domínio malicioso em "deb.fdmpkg[.]org", que hospeda um pacote Debian malicioso.
Devido a este redirecionamento ocorrer apenas em alguns casos e não em todas as tentativas de downloads do site oficial, é hipotizado que os scripts miravam usuários com downloads maliciosos baseados em critérios específicos, mas desconhecidos.
A Kaspersky observou várias postagens nas redes sociais, Reddit, StackOverflow, YouTube e Unix Stack Exchange, onde o domínio malicioso foi disseminado como uma fonte confiável para obter a ferramenta Free Download Manager.
Além disso, uma postagem no site oficial do Free Download Manager em 2021 mostra como um usuário infectado aponta o domínio malicioso 'fdmpkg.org' e é informado de que ele não está afiliado ao projeto oficial.
Nos mesmos sites, os usuários discutiam problemas com o software nos últimos três anos, trocando opiniões sobre arquivos suspeitos e tarefas cron que ele criava, nenhum deles percebendo que estavam infectados com um malware.
Embora a Kaspersky afirme que o redirecionamento parou em 2022, vídeos antigos do YouTube [1, 2] mostram claramente links de download no oficial Free Download Manager, redirecionando alguns usuários para a URL do http://deb.fdmpkg[.]org malicioso em vez de freedownloadmanager.org.
No entanto, este redirecionamento não foi usado para todos, com outro vídeo da mesma época mostrando um usuário baixando o programa a partir da URL oficial.
O pacote Debian malicioso, que é usado para instalar softwares em distribuições Linux baseadas no Debian, incluindo Ubuntu e forks baseados no Ubuntu, solta um script de roubo de informações do Bash e um backdoor do crond que estabelece um shell reverso a partir do servidor C2.
O componente crond cria uma nova tarefa cron no sistema que executa um script de roubo ao iniciar o sistema.
A Kaspersky descobriu que o backdoor do crond é uma variante do malware 'Bew' em circulação desde 2013, com o ladrão de Bash detectado e analisado pela primeira vez em 2019. Dito isso, o conjunto de ferramentas não é novo.
A versão do Bash Stealer analisada pela Kaspersky coleta informações do sistema, histórico de navegação, senhas salvas nos navegadores, chaves de autenticação RMM, histórico de shell, dados de carteira de criptomoedas e credenciais de contas para AWS, Google Cloud, Oracle Cloud Infrastructure e serviços em nuvem do Azure.
Esses dados coletados são então enviados para o servidor dos invasores, onde podem ser usados para realizar mais ataques ou vendidos a outros atores de ameaças.
Se você instalou a versão Linux do Free Download Manager entre 2020 e 2022, deve verificar se a versão maliciosa foi instalada.
Para fazer isto, procure os seguintes arquivos deixados pelo malware, e se encontrados, delete eles:
/etc/cron.d/collect
/var/tmp/crond
/var/tmp/bs
Apesar da idade das ferramentas maliciosas utilizadas nesses ataques, os sinais de atividade suspeita em computadores infectados e vários relatórios nas redes sociais, o pacote Debian malicioso permaneceu indetectado por anos.
A Kaspersky diz que isso se deve a uma combinação de fatores, incluindo a raridade de malwares no Linux e a propagação limitada, pois apenas uma parte dos usuários era redirecionada para a URL não oficial.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...