.
Imagens Getty | posteriormente
Um site de download serviu secretamente aos usuários do Linux malware que roubou senhas e outras informações confidenciais por mais de três anos, até que finalmente ficou silencioso, disseram pesquisadores na terça-feira.
O site, gerenciador de download gratuito[.]org, ofereceu uma versão benigna de uma oferta Linux conhecida como Free Download Manager. A partir de 2020, o mesmo domínio às vezes redirecionou usuários para o domínio deb.fdmpkg[.]org, que veiculou uma versão maliciosa do aplicativo. A versão disponível no domínio malicioso continha um script que baixava dois arquivos executáveis para os caminhos de arquivo /var/tmp/crond e /var/tmp/bs. O script então usou o agendador de tarefas cron para fazer com que o arquivo em /var/tmp/crond fosse iniciado a cada 10 minutos. Com isso, os dispositivos que instalaram a versão armadilhada do Free Download Manager foram permanentemente bloqueados.
Depois de acessar um endereço IP do domínio malicioso, o backdoor lançou um shell reverso que permitiu aos invasores controlar remotamente o dispositivo infectado. Pesquisadores da Kaspersky, empresa de segurança que descobriu o malware, executaram o backdoor em um dispositivo de laboratório para observar como ele se comportava.
“Este ladrão coleta dados como informações do sistema, histórico de navegação, senhas salvas, arquivos de carteiras de criptomoedas, bem como credenciais para serviços em nuvem (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)”, escreveram os pesquisadores em um relatório na terça-feira. “Depois de coletar informações da máquina infectada, o ladrão baixa um binário de upload do servidor C2, salvando-o em /var/tmp/atd. Em seguida, ele usa esse binário para enviar os resultados da execução do ladrão para a infraestrutura dos invasores.”
A imagem abaixo ilustra a cadeia de infecção.
Kaspersky
Depois de pesquisar postagens nas redes sociais que discutiam o Free Download Manager, os pesquisadores descobriram que algumas pessoas que visitaram o freedownloadmanager[.]org recebeu uma versão benigna do aplicativo, enquanto outros foram redirecionados para um dos seguintes domínios maliciosos que serviam a versão com armadilha.
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]organização
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]organização
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]organização
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]organização
Não está claro por que alguns visitantes receberam a versão não maliciosa do software e outros foram redirecionados para um domínio malicioso. Os redirecionamentos maliciosos terminaram em 2022 por motivos desconhecidos.
O backdoor é uma versão atualizada do malware rastreado como Bew, que foi publicado em 2014. Bew foi um dos componentes usados em um ataque em 2017. O ladrão chamado pelo backdoor foi instalado em uma campanha de 2019 após explorar pela primeira vez uma vulnerabilidade no Servidor de correio Exim.
“Embora a campanha esteja atualmente inativa”, escreveram os pesquisadores, referindo-se ao recente incidente, “este caso do Free Download Manager demonstra que pode ser bastante difícil detectar a olho nu ataques cibernéticos em andamento em máquinas Linux”. Eles acrescentaram:
O malware observado nesta campanha é conhecido desde 2013. Além disso, os implantes revelaram-se bastante barulhentos, como demonstram diversas publicações nas redes sociais. De acordo com a nossa telemetria, as vítimas desta campanha estão localizadas em todo o mundo, incluindo Brasil, China, Arábia Saudita e Rússia. Tendo em conta estes factos, pode parecer paradoxal que o pacote malicioso Free Download Manager tenha permanecido sem ser detectado durante mais de três anos.
- Ao contrário do Windows, o malware do Linux é observado muito mais raramente;
- As infecções com o pacote Debian malicioso ocorreram com certa probabilidade: alguns usuários receberam o pacote infectado, enquanto outros acabaram baixando o benigno;
- Os usuários de redes sociais que discutiam problemas do Free Download Manager não suspeitavam que fossem causados por malware.
A postagem oferece uma variedade de hashes de arquivos e endereços de domínio e IP que as pessoas podem usar para indicar se foram alvo ou infectadas na campanha, que os pesquisadores suspeitam ter sido um ataque à cadeia de suprimentos envolvendo a versão benigna do Free Download Manager. Os pesquisadores disseram que as pessoas que executam o freedownloadmanager[.]org não respondeu às mensagens notificando-os sobre a campanha. Eles também não responderam a uma consulta para esta postagem.
.
