Un sitio de gestión de descargas sirvió malware a usuarios de Linux que de manera sigilosa robaba contraseñas y otra información sensible durante más de tres años como parte de un ataque de cadena de suministro.
El modus operandi consistió en establecer una conexión inversa a un servidor controlado por los atacantes e instalar un programa malicioso Bash en el sistema comprometido. La campaña tuvo lugar entre 2020 y 2022 y ya no está activa.
"Este programa malicioso recopila datos como información del sistema, historial de navegación, contraseñas guardadas, archivos de billetera de criptomonedas y credenciales para servicios en la nube (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)", dijeron los investigadores de Kaspersky, Georgy Kucherin y Leonid Bezvershenko.
El sitio web en cuestión es freedownloadmanager[.]org, que, según la empresa rusa de ciberseguridad, ofrece un software legÃtimo para Linux llamado "Free Download Manager", pero a partir de enero de 2020, comenzó a redirigir a algunos usuarios que intentaban descargarlo a otro dominio deb.fdmpkg[.]org que servÃa un paquete Debian preparado para atrapar a los usuarios.
Se sospecha que los autores del malware diseñaron el ataque basándose en ciertos criterios de filtrado predefinidos (por ejemplo, una huella digital digital del sistema) para dirigir selectivamente a posibles vÃctimas a la versión maliciosa. Las redirecciones fraudulentas terminaron en 2022 por razones inexplicables.
El paquete Debian contiene un script postinstalación que se ejecuta al instalarse para soltar dos archivos ELF, /var/tmp/bs y un backdoor basado en DNS (/var/tmp/crond) que lanza una conexión inversa a un servidor de comando y control (C2), que se recibe como respuesta a una solicitud DNS a uno de los cuatro dominios:
2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
"El protocolo de comunicación es, dependiendo del tipo de conexión, SSL o TCP", dijeron los investigadores. "En el caso del SSL, el backdoor crond lanza el ejecutable /var/tmp/bs y delega todas las comunicaciones posteriores a él. De lo contrario, el backdoor crond crea la conexión inversa por sà mismo".
El objetivo final del ataque es desplegar un programa malicioso para robar datos sensibles del sistema. La información recopilada se carga luego al servidor del atacante utilizando un binario de carga descargado desde el servidor C2.
Kaspersky dijo que crond es una variante de un backdoor conocido como Bew que circula desde 2013, mientras que una versión anterior del malware Bash ya habÃa sido documentada por Yoroi en junio de 2019.
No está claro de inmediato cómo ocurrió realmente la compromisión y cuáles eran los objetivos finales de la campaña. Lo que es evidente es que no todos los que descargaron el software recibieron el paquete malicioso, lo que le permitió evadir la detección durante años.
"Aunque la campaña está actualmente inactiva, este caso de Free Download Manager demuestra que puede ser bastante difÃcil detectar ataques cibernéticos en curso en máquinas Linux a simple vista", dijeron los investigadores.
"Por lo tanto, es esencial que las máquinas Linux, tanto de escritorio como de servidor, estén equipadas con soluciones de seguridad confiables y eficientes".
¿Quieres saber más?