Un sitio de administrador de descargas proporcionó a los usuarios de Linux malware que robó sigilosamente contraseñas y otra información confidencial durante más de tres años como parte de un ataque a la cadena de suministro.
El modus operandi implicaba establecer un shell inverso para un servidor controlado por un actor e instalar un ladrón de Bash en el sistema comprometido. La campaña, que tuvo lugar entre 2020 y 2022, ya no está activa.
«Este ladrón recopila datos como información del sistema, historial de navegación, contraseñas guardadas, archivos de billeteras de criptomonedas, así como credenciales de servicios en la nube (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)», dijeron los investigadores de Kaspersky Georgy Kucherin y Leonid Bezvershenko. dicho.
El sitio web en cuestión es freedownloadmanager.[.]org, que, según la firma rusa de ciberseguridad, ofrece un software legítimo de Linux llamado «Free Download Manager», pero a partir de enero de 2020 comenzó a redirigir a algunos usuarios que intentaron descargarlo a otro dominio deb.fdmpkg.[.]org que sirvió un paquete Debian trampa explosiva.
Se sospecha que los autores del malware diseñaron el ataque basándose en ciertos criterios de filtrado predefinidos (por ejemplo, una huella digital del sistema) para llevar selectivamente a las víctimas potenciales a la versión maliciosa. Las redirecciones fraudulentas terminaron en 2022 por razones inexplicables.
El paquete Debian contiene un secuencia de comandos posterior a la instalación que se ejecuta durante su instalación para colocar dos archivos ELF, /var/tmp/bs y una puerta trasera basada en DNS (/var/tmp/crond) que lanza un shell inverso a un servidor de comando y control (C2), que es recibido en respuesta a una solicitud de DNS a uno de los cuatro dominios –
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]organización
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]organización
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]organización
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]organización
«El protocolo de comunicación es, dependiendo del tipo de conexión, SSL o TCP», dijeron los investigadores. «En el caso de SSL, la puerta trasera crond inicia el ejecutable /var/tmp/bs y delega todas las comunicaciones adicionales en él. De lo contrario, la puerta trasera crond crea el shell inverso».
El objetivo final del ataque es implementar un malware ladrón y recopilar datos confidenciales del sistema. Luego, la información recopilada se carga en el servidor del atacante utilizando un binario de carga descargado del servidor C2.
crond, dijo Kaspersky, es una variante de una puerta trasera conocida como Bew que ha estado en circulación desde 2013mientras que una versión temprana del malware ladrón Bash fue previamente documentado por Yoroi en junio de 2019.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
No está claro de inmediato cómo se produjo realmente el compromiso y cuáles fueron los objetivos finales de la campaña. Lo que es evidente es que no todos los que descargaron el software recibieron el paquete fraudulento, lo que le permitió evadir la detección durante años.
«Aunque la campaña está actualmente inactiva, este caso de Free Download Manager demuestra que puede ser bastante difícil detectar ataques cibernéticos en curso en máquinas Linux a simple vista», dijeron los investigadores.
«Por lo tanto, es esencial que las máquinas Linux, tanto de escritorio como de servidor, estén equipadas con soluciones de seguridad confiables y eficientes».