Kaspersky ha scoperto una campagna malevola che, da almeno tre anni, utilizza un installer del software Free Download Manager per diffondere una backdoor Linux. I ricercatori hanno rilevato che le vittime sono state infettate scaricando il software dal sito ufficiale, indicando che possa trattarsi di un attacco alla supply chain. Le varianti del malware utilizzate sono state identificate inizialmente nel 2013 e le vittime si trovano in Paesi diversi, tra cui Brasile, Cina, Arabia Saudita e Russia.
Gli esperti di Kaspersky hanno identificato una nuova campagna malevola che colpisce i sistemi Linux, in cui gli attori delle minacce hanno distribuito una backdoor – un tipo di Trojan – sui dispositivi delle vittime, attraverso la versione infetta di Free Download Manager, un software gratuito molto conosciuto. Una volta infettato il dispositivo, l’obiettivo dei cyber criminali è rubare le informazioni: dettagli di sistema, cronologia di navigazione, password salvate, file dei wallet di criptovalute e persino credenziali dei servizi cloud come Amazon Web Services o Google Cloud. Secondo la telemetria di Kaspersky, le vittime di questa campagna provengono da tutto il mondo, inclusi Paesi come Brasile, Cina, Arabia Saudita e Russia.
Gli esperti di Kaspersky ritengono probabile che si tratti di un attacco alla supply chain. Durante la ricerca delle procedure di installazione di Free Download Manager su YouTube per i computer Linux, i ricercatori hanno trovato alcuni casi in cui i creatori dei video hanno inavvertitamente mostrato il processo di infezione iniziale: cliccando il pulsante di download sul sito ufficiale veniva scaricata una versione malevola di Free Download Manager. In un altro video, invece, veniva scaricata la versione legittima. È possibile che gli sviluppatori del malware abbiano programmato il reindirizzamento dannoso per farlo apparire spesso oppure che si siano basati sulla digital fingerprint della potenziale vittima. In questo modo, alcuni utenti si sono imbattuti nel pacchetto dannoso, mentre altri hanno scaricato quello legittimo.
Secondo quanto scoperto da Kaspersky, la campagna è durata almeno tre anni, dal 2020 al 2022, dato che il pacchetto installava la versione di Free Download Manager rilasciata nel 2020. Inoltre, in questo periodo, su siti come StackOverflow e Reddit ci sono state numerose discussioni riguardanti i problemi causati dalla distribuzione del software infetto. Tuttavia, gli utenti non erano a conoscenza del fatto che questi problemi derivassero da attività malevole.
Utente di Reddit che chiede se sia possibile installare Free Download Manager senza eseguire lo script, che in seguito si è scoperto contenere il malware
“Le varianti della backdoor analizzata sono state rilevate dalle soluzioni di Kaspersky per Linux sin dal 2013. Tuttavia, in generale, c’è l’errata convinzione che Linux sia immune ai malware, e perciò molti sistemi non hanno un’adeguata protezione di cybersecurity, rendendoli bersagli facili per i criminali informatici. Il caso di Free Download Manager evidenzia la difficoltà di individuare a occhio nudo un cyberattacco in atto su un sistema Linux, perciò è fondamentale che i computer Linux-based, compresi desktop e server, implementino misure di sicurezza affidabili ed efficaci”, ha dichiarato Georgy Kucherin, Security Expert di GReAT, Kaspersky.
