No es demasiado tarde para comprobar si un dispositivo Linux que utilizas ha sido atacado.
Un sitio de descargas ofreció subrepticiamente a los usuarios de Linux programas maliciosos que robaban contraseñas y otros datos confidenciales durante más de tres años, hasta que finalmente se silenció, según informaron el martes unos investigadores.
El sitio, freedownloadmanager[.]org, ofrecía una versión benigna de una oferta de Linux conocida como Free Download Manager. A partir de 2020, el mismo dominio a veces redirigía a los usuarios al dominio deb.fdmpkg[.]org, que ofrecía una versión maliciosa de la aplicación. La versión disponible en el dominio malicioso contenía una secuencia de comandos que descargaba dos archivos ejecutables en las rutas de archivos /var/tmp/crond y /var/tmp/bs.
La secuencia de comandos utilizaba la tarea cron para programar la descarga. A continuación, el script utilizaba el programador de tareas cron para que el archivo /var/tmp/crond se ejecutara cada 10 minutos. De este modo, los dispositivos que tenían instalada la versión trampa de Free Download Manager quedaban permanentemente bloqueados.
Tras acceder a una dirección IP del dominio malicioso, el backdoor lanzaba una shell inversa que permitía a los atacantes controlar remotamente el dispositivo infectado. Los investigadores de Kaspersky, la empresa de seguridad que descubrió el malware, ejecutaron el backdoor en un dispositivo de laboratorio para observar cómo se comportaba.
"Este ladrón recopila datos como información del sistema, historial de navegación, contraseñas guardadas, archivos de billeteras de criptomonedas, así como credenciales de servicios en la nube (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)", escribieron los investigadores en un informe el martes. "Después de recopilar información de la máquina infectada, el ladrón descarga un binario uploader desde el servidor C2, guardándolo en /var/tmp/atd. A continuación, utiliza este binario para subir los resultados de ejecución del stealer a la infraestructura de los atacantes."
La siguiente imagen ilustra la cadena de infección.
Tras buscar publicaciones en redes sociales en las que se hablaba de Free Download Manager, los investigadores descubrieron que algunas personas que visitaban freedownloadmanager[.]org recibían una versión benigna de la aplicación, mientras que otras eran redirigidas a uno de los siguientes dominios maliciosos que ofrecían la versión trampa.
2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
No está claro por qué algunos visitantes recibieron la versión no maliciosa del software y otros fueron redirigidos a un dominio malicioso. Las redirecciones maliciosas terminaron en 2022 por razones desconocidas.
El backdoor es una versión actualizada del malware rastreado como Bew, que se publicó en 2014. Bew fue uno de los componentes utilizados en un ataque en 2017. El ladrón llamado por el backdoor se instaló en una campaña de 2019 después de explotar primero una vulnerabilidad en el servidor de correo Exim.
"Si bien la campaña está actualmente inactiva", escribieron los investigadores, refiriéndose al incidente reciente, "este caso de Free Download Manager demuestra que puede ser bastante difícil detectar a simple vista los ciberataques en curso en máquinas Linux." Añadieron:
El malware observado en esta campaña se conoce desde 2013. Además, los implantes resultaron ser bastante ruidosos, como demuestran las múltiples publicaciones en las redes sociales. Según nuestra telemetría, las víctimas de esta campaña se encuentran en todo el mundo, incluidos Brasil, China, Arabia Saudí y Rusia. Teniendo en cuenta estos hechos, puede parecer paradójico que el paquete malicioso Free Download Manager permaneciera sin detectar durante más de tres años.
A diferencia de Windows, el malware de Linux se observa con mucha menos frecuencia; Las infecciones con el paquete malicioso de Debian se produjeron con cierto grado de probabilidad: algunos usuarios recibieron el paquete infectado, mientras que otros acabaron descargando el benigno;
Los usuarios de redes sociales que comentaban los problemas de Free Download Manager no sospechaban que estuvieran causados por malware.
El post ofrece una variedad de hashes de archivos y direcciones de dominio e IP que la gente puede utilizar para indicar si han sido blanco o infectados en la campaña, que los investigadores sospechan que fue un ataque de la cadena de suministro que involucró a la versión benigna de Free Download Manager. Según los investigadores, los administradores del sitio freedownloadmanager[.]org no respondieron a los mensajes que les notificaban la campaña. Tampoco respondieron a una consulta para este artículo.
Fuente: somoslibres
