Os usuários Linux precisam mais do que nunca estar alerta para diversos golpes voltados exclusivamente ao público fã do tux. Um site até então confiável, o Free Download Manager redirecionou usuários Linux para malware por anos.
Um relatado ataque à cadeia de suprimentos do Free Download Manager redirecionou usuários do Linux para um repositório malicioso de pacotes Debian que instalou malware para roubo de informações.
O malware usado nesta campanha estabelece um shell reverso para um servidor C2 e instala um ladrão Bash que coleta dados do usuário e credenciais de conta.
A Kaspersky descobriu o possível caso de comprometimento da cadeia de suprimentos enquanto investigava domínios suspeitos, descobrindo que a campanha está em andamento há mais de três anos.
Embora a empresa de segurança cibernética tenha informado o fornecedor do software sobre isso, ela não recebeu resposta, portanto o meio exato de comprometimento permanece obscuro. O Free Download Manager não deu pistas.
Downloads diretos e redirecionamentos
A Kaspersky diz que a página oficial de download hospedada em “freedownloadmanager[.]org” às vezes redirecionava aqueles que tentavam baixar a versão Linux para um domínio malicioso em “deb.fdmpkg[.]org”, que hospeda um pacote Debian malicioso.
Devido a esse redirecionamento acontecer apenas em alguns casos e não em todos os casos de tentativas de download do site oficial, supõe-se que os scripts tenham como alvo os usuários com downloads maliciosos com base em critérios específicos, mas desconhecidos.
A Kaspersky observou várias postagens nas redes sociais, Reddit, StackOverflow, YouTube e Unix Stack Exchange, onde o domínio malicioso foi divulgado como uma fonte confiável para obter a ferramenta Free Download Manager.
Além disso, uma postagem no site oficial do Free Download Manager em 2021 ilustra como um usuário infectado aponta o domínio malicioso ‘fdmpkg.org’ e foi informado de que ele não é afiliado ao projeto oficial.
Site Free Download Manager redirecionou usuários Linux para malware por anos
Nos mesmos sites, os usuários discutiram problemas com o software nos últimos três anos, trocando opiniões sobre arquivos suspeitos e cron jobs criados, nenhum deles percebendo que estavam infectados por malware.
Embora a Kaspersky afirme que o redirecionamento foi interrompido em 2022, vídeos antigos do YouTube [1, 2] mostram claramente links de download no Free Download Manager oficial, redirecionando alguns usuários para URL malicioso http://deb.fdmpkg[.]org em vez de freedownloadmanager.
No entanto, esse redirecionamento não foi usado para todos, com outro vídeo mais ou menos na mesma época mostrando um usuário baixando o programa do URL oficial.
Implantando malware para roubo de informações
O pacote Debian malicioso, que é usado para instalar software em distribuições Linux baseadas em Debian, incluindo Ubuntu e forks baseados em Ubuntu, descarta um script Bash de roubo de informações e um backdoor crond que estabelece um shell reverso do servidor C2.
Notícias Relacionadas
Dr.Web
Dr.Web desconectou todos os servidores após um ataque cibernético
A empresa antivírus russa Doctor Web (Dr.Web) anunciou que desconectou todos os servidores após um ataque cibernético no sábado, 14 de setembro, como medida protetiva. Ataque cibernético sofrido pela Dr.Web A empresa revelou que detectou “sinais de interferência não autorizada” em sua infraestrutura de TI. Então, resolveu desconectar os seus servidores. A empresa destaca ainda […]
Violação de dados Temu
Temu nega violação de dados mesmo hacker alegando roubo
Mesmo depois de um hacker afirmar que roubou 87 milhões de registros de informações de clientes, a Temu nega ter sido hackeada ou sofrido uma violação de dados. Violação de dados Temu O agente da ameaça colocou os supostos dados à venda ontem no fórum de hackers BreachForums, junto com uma pequena amostra para servir […]
O componente crond cria um novo cron job no sistema que executa um script ladrão na inicialização do sistema.
A Kaspersky descobriu que o backdoor crond é uma variante do malware ‘Bew’ em circulação desde 2013, com o ladrão Bash descoberto e analisado pela primeira vez em 2019. Dito isto, o conjunto de ferramentas não é novo.
A versão do ladrão Bash analisada pela Kaspersky coleta informações do sistema, histórico de navegação, senhas salvas em navegadores, chaves de autenticação RMM, histórico de shell, dados de carteira de criptomoeda e credenciais de conta para AWS, Google Cloud, Oracle Cloud Infrastructure e serviços de nuvem Azure.
Esses dados coletados são então carregados no servidor dos invasores, onde podem ser usados para conduzir novos ataques ou vendidos a outros agentes de ameaças. Se você instalou a versão Linux do Free Download Manager entre 2020 e 2022, verifique se a versão maliciosa foi instalada.
Para fazer isso, procure os seguintes arquivos descartados pelo malware e, se encontrados, exclua-os:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
Apesar da idade das ferramentas maliciosas usadas nesses ataques, dos sinais de atividades suspeitas nos computadores infectados e de vários relatos nas redes sociais, o pacote Debian malicioso permaneceu sem ser detectado durante anos.
A Kaspersky diz que isso se deve a uma combinação de fatores, incluindo a raridade do malware no Linux e a disseminação limitada devido ao fato de apenas uma parte dos usuários ser redirecionada para o URL não oficial.
A empresa entrou em contato com o site e emitiu o seguinte esclarecimento:
Querida comunidade,
Desejamos abordar uma preocupação significativa de segurança que recentemente chamou nossa atenção. Manter a sua confiança é fundamental para nós e, na nossa dedicação à transparência, pretendemos fornecer um relato claro e direto da situação.
O que aconteceu: Hoje, informados pelas descobertas da Kaspersky Lab, tomamos conhecimento de um incidente de segurança ocorrido em 2020. Parece que uma página específica do nosso site foi comprometida por um grupo de hackers ucraniano, explorando-a para distribuir software malicioso. Apenas um pequeno subconjunto de usuários, especificamente aqueles que tentaram baixar o FDM para Linux entre 2020 e 2022, foram potencialmente expostos. Estima-se que muito menos de 0,1% dos nossos visitantes tenham encontrado esse problema. Este escopo limitado é provavelmente o motivo pelo qual o problema permaneceu não detectado até agora. Curiosamente, esta vulnerabilidade foi resolvida sem saber durante uma atualização de rotina do site em 2022.
Nossas ações imediatas: Após esta descoberta, iniciamos uma investigação completa. Estamos reforçando nossas defesas e implementando medidas adicionais para evitar tais vulnerabilidades no futuro.
Recomendações para usuários: Se você estava entre o subconjunto de usuários que tentaram baixar o FDM para Linux de nossa página comprometida durante o período mencionado, recomendamos fortemente a realização de uma verificação de malware em seu sistema e a atualização de suas senhas como medida de precaução.
Problemas de comunicação: Também descobrimos um problema com um dos nossos formulários de contato que pode ter impedido a comunicação imediata; presumivelmente, era o formulário usado pelos representantes da Kaspersky Lab para entrar em contato conosco. Se você tentou entrar em contato sobre este ou qualquer problema relacionado sem receber feedback, entre em contato conosco novamente em support@freedownloadmanager. organização.
Pedimos sinceras desculpas por qualquer inconveniente ou preocupação que isso possa causar. Garantir a sua segurança digital continua na vanguarda dos nossos esforços e somos inabaláveis no nosso compromisso de salvaguardar a sua confiança.
Encorajamos todos a obter mais informações no site oficial do FDM: https://www. freedownloadmanager.org/blog/? p=664
Obrigado pela sua paciência e compreensão. Manteremos você atualizado à medida que aprendermos mais.
Atenciosamente, equipe do Free Download Manager
