AGGIORNAMENTO
La redazioen di Matrice Digitale è stata contattata da FreeDownloadManager che ha inviato la seguente nota di rusoluzione del problema riportata in integrale:
Alla luce dei recenti problemi di sicurezza legati a FDM, abbiamo sviluppato uno script bash che consente agli utenti di verificare la presenza di malware sui propri sistemi. Lo script e le istruzioni sono ora disponibili sul nostro sito web ufficiale.
In una recente scoperta, è stato rivelato che il sito ufficiale del Free Download Manager ha reindirizzato gli utenti Linux a un pacchetto Debian malevolo che installava malware ruba-informazioni per diversi anni. Questo malware stabiliva una shell inversa con un server C2 e installava un Bash stealer che raccoglieva dati e credenziali degli utenti.
Kaspersky fa luce sul compromesso della catena di fornitura
La compagnia di cybersecurity Kaspersky ha scoperto questa possibile compromissione della catena di fornitura durante l’indagine su domini sospetti. Hanno rilevato che questa campagna è stata in corso per oltre tre anni. Nonostante abbiano informato il fornitore del software, non hanno ricevuto alcuna risposta, lasciando i dettagli esatti del compromesso ancora poco chiari. Anche BleepingComputer ha cercato di contattare il fornitore del Free Download Manager, ma senza successo fino al momento della pubblicazione.
Download diretti e reindirizzamenti
Kaspersky ha rivelato che la pagina di download ufficiale, ospitata su “freedownloadmanager[.]org”, in alcuni casi reindirizzava chi tentava di scaricare la versione Linux a un dominio malevolo, “deb.fdmpkg[.]org”, che ospitava un pacchetto Debian malevolo. Questo reindirizzamento non avveniva in tutti i casi, suggerendo l’uso di script che targetizzavano gli utenti con download malevoli basati su criteri specifici ma sconosciuti. Il dominio malevolo è stato promosso come fonte affidabile per ottenere il Free Download Manager attraverso vari post su social media, Reddit, StackOverflow, YouTube e Unix Stack Exchange. Gli utenti hanno discusso dei problemi con il software negli ultimi tre anni, scambiando opinioni su file sospetti e cron jobs creati, senza rendersi conto della presenza del malware.
Implementazione del malware ruba-informazioni
Il pacchetto Debian malevolo, utilizzato per installare software su distribuzioni Linux basate su Debian, come Ubuntu, rilasciava uno script Bash che rubava informazioni e un backdoor crond che stabiliva una shell inversa con il server C2. Questo componente crond creava un nuovo cron job nel sistema che eseguiva uno script di furto all’avvio del sistema. Kaspersky ha identificato il backdoor crond come una variante del malware ‘Bew’, in circolazione dal 2013, e il Bash stealer è stato analizzato per la prima volta nel 2019. Questo strumento non è nuovo, ma raccoglie una vasta gamma di dati, inclusi dati di autenticazione, cronologia di navigazione, chiavi di autenticazione RMM, dati di portafogli di criptovalute e credenziali per vari servizi cloud. Questi dati vengono poi caricati sul server degli attaccanti, dove possono essere utilizzati per ulteriori attacchi o venduti ad altri attori minacciosi.
Se hai installato la versione Linux del Free Download Manager tra il 2020 e il 2022, è consigliabile verificare se è stata installata la versione malevola. Per farlo, cerca e elimina i seguenti file se trovati:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
Nonostante l’età degli strumenti malevoli utilizzati in questi attacchi, e i segni di attività sospetta su computer infetti, il pacchetto Debian malevolo è rimasto non rilevato per anni. Kaspersky attribuisce ciò a una combinazione di fattori, inclusa la rarità del malware su Linux e la diffusione limitata dovuta al reindirizzamento di solo una parte degli utenti all’URL non ufficiale.