Un sitio de gestor de descargas sirvió malware a usuarios de Linux que de manera sigilosa robó contraseñas y otra información sensible durante más de tres años como parte de un ataque de cadena de suministro.
El modus operandi implicaba establecer una cáscara inversa a un servidor controlado por actores e instalar un ladrón Bash en el sistema comprometido. La campaña, que tuvo lugar entre 2020 y 2022, ya no está activa.
“Este ladrón recopila datos como información del sistema, historial de navegación, contraseñas guardadas, archivos de billetera de criptomonedas, así como credenciales para servicios en la nube (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)”, dijeron los investigadores de Kaspersky Georgy Kucherin y Leonid Bezvershenko.
El sitio web en cuestión es freedownloadmanager[.] org, que, según la firma rusa de ciberseguridad, ofrece un software legítimo de Linux llamado “Free Download Manager”, pero a partir de enero de 2020, comenzó a redirigir a algunos usuarios que intentaron descargarlo a otro dominio deb.fdmpkg[.] org que sirvió a un paquete Debian con trampas explosivas.
Se sospecha que los autores del malware diseñaron el ataque basándose en ciertos criterios de filtrado predefinidos (por ejemplo, una huella digital del sistema) para llevar selectivamente a las víctimas potenciales a la versión maliciosa. Las redirecciones maliciosas terminaron en 2022 por razones inexplicables.
El paquete Debian contiene un script post-instalación que se ejecuta tras su instalación para soltar dos archivos ELF, /var/tmp/bs y una backdoor basada en DNS (/var/tmp/crond) que lanza un shell inverso a un servidor de comando y control (C2), que se recibe en respuesta a una solicitud DNS a uno de los cuatro dominios.
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.] Org
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.] Org
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.] Org
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.] Org
“El protocolo de comunicación es, dependiendo del tipo de conexión, SSL o TCP”, dijeron los investigadores. “En el caso de SSL, la puerta trasera crond lanza el ejecutable /var/tmp/bs y delega todas las comunicaciones adicionales en él. De lo contrario, la carcasa inversa es creada por la propia puerta trasera crond”.
El objetivo final del ataque es desplegar un malware stealer y recopilar datos confidenciales del sistema. A continuación, la información de recopilación se carga en el servidor del atacante mediante un binario cargador descargado del servidor C2.
crond, dijo Kaspersky, es una variante de una puerta trasera conocida como Bew que ha estado en circulación desde 2013, mientras que una versión temprana del malware Bash stealer fue documentada previamente por Yoroi en junio de 2019.
No está claro de inmediato cómo se llevó a cabo realmente el compromiso y cuáles fueron los objetivos finales de la campaña. Lo que es evidente es que no todos los que descargaron el software recibieron el paquete deshonesto, lo que le permitió evadir la detección durante años.
“Si bien la campaña está actualmente inactiva, este caso de Free Download Manager demuestra que puede ser bastante difícil detectar ciberataques en curso en máquinas Linux a simple vista”, dijeron los investigadores.
“Por lo tanto, es esencial que las máquinas Linux, tanto de escritorio como de servidor, estén equipadas con soluciones de seguridad confiables y eficientes”.
