Per più di tre anni, un malware ha infettato gli utenti Linux che scaricavano software da un sito web. Il malware rubava le password e altre informazioni sensibili degli utenti (dettagli di sistema, cronologia di navigazione, file dei wallet di criptovalute e credenziali dei servizi cloud), senza essere rilevato. A renderlo noto sono stati gli esperti di Kaspersky.

Malware Linux nascosto per 3 anni in un sito di download

Il sito, Free Download Manager.org, offriva una versione innocua di un pacchetto Linux noto come Free Download Manager. A partire dal 2020, lo stesso dominio a volte reindirizzava gli utenti al dominio deb.fdmpkg.org, che distribuiva una versione dannosa dell’applicazione. La versione disponibile sul dominio dannoso conteneva uno script che scaricava due file eseguibili nei percorsi file /var/tmp/crond e /var/tmp/bs.

Lo script utilizzava quindi il JobScheduler cron per lanciare il file /var/tmp/crond ogni 10 minuti. Di conseguenza, i dispositivi che avevano installato la versione trappola di Free Download Manager sono stati dirottati in modo permanente. Dopo l’accesso a un indirizzo IP del dominio dannoso, la backdoor lanciava una reverse shell che consentiva agli aggressori di controllare in remoto il dispositivo infetto.

I ricercatori di Kaspersky, che hanno scoperto il malware, hanno quindi analizzato la backdoor su un dispositivo di test per osservarne il comportamento. Non si sa perché il sito di download abbia distribuito la versione sicura del software ad alcuni visitatori e abbia reindirizzato gli altri a un dominio dannoso. In ogni caso, i reindirizzamenti dannosi sono terminati nel 2022 per ragioni sconosciute.

La backdoor è una versione aggiornata del malware rintracciato con il nome di Bew, rilasciato nel 2014. Bew è stato uno dei componenti utilizzati in un attacco nel 2017. La cosiddetta backdoor thief è stata installata in una campagna del 2019 dopo aver sfruttato prima una vulnerabilità nel server di posta Exim.

Le dichiarazioni di Kaspersky

Come ha dichiarato Georgy Kucherin, Security Expert di GReAT, Kaspersky:”Sebbene la campagna sia attualmente inattiva, questo caso di Free Download Manager dimostra che può essere piuttosto difficile rilevare a occhio nudo i cyberattacchi in corso su macchine Linux. Il malware osservato durante questa campagna è noto dal 2013. Secondo i nostri dati di telemetria, le vittime di questa campagna si trovano in tutto il mondo, tra cui Brasile, Cina, Arabia Saudita e Russia. Alla luce di questi fatti, può sembrare paradossale che il pacchetto malevolo Free Download Manager sia rimasto inosservato per così tanto tempo. A differenza di Windows, il malware per Linux è molto meno comune. Gli utenti dei social network che discutevano dei problemi con Free Download Manager non sospettavano che fossero causati da malware“.

Come evitare le minacce

Per proteggersi dalle minacce, Kaspersky consiglia di seguire queste precauzioni di sicurezza: