Un sito di download ha fornito di nascosto agli utenti Linux tonnellate di malware che rubavano password e altre informazioni sensibili. La storia non è durata poco perché è andata avanti per più di tre anni senza che nessuno evidenziasse il pericolo-
Il sito freedownloadmanager[.]org ha cominciato nel 2020 a mettere a disposizione una versione benigna ed innocua di un’offerta Linux nota come Free Download Manager, ma in realtà agiva in modo decisamente scorretto.
Lo stesso dominio, infatti, a volte reindirizzava gli utenti al dominio deb.fdmpkg[.]org, che forniva una versione dannosa della app in questione. Tale release “avvelenata” conteneva uno script che scaricava due file eseguibili nei percorsi dei file /var/tmp/crond e /var/tmp/bs.
Lo script ha quindi utilizzato lo scheduler del processo cron per avviare il file in /var/tmp/crond ogni 10 minuti. In questo modo, i dispositivi che avevano installato la versione esplosiva di Free Download Manager sono stati permanentemente sottoposti a backdoor ovvero si sono ritrovati una porta sul retro che – non presidiata – consentiva l’accesso indebito ad una vasta platea di malintenzionati.
Dopo aver effettuato l’accesso all’indirizzo IP del dominio dannoso, la backdoor lanciava una reverse shell che ha consentito agli aggressori di controllare da remoto il dispositivo infetto.
La notizia arriva dai ricercatori di Kaspersky, la società di sicurezza che ha scoperto il malware. Gli specialisti di questa azienda hanno quindi “eseguito” la backdoor su un dispositivo di laboratorio per simularne l’entrata in funzione ed osservarne il comportamento.
Il risultato della sperimentazione ha permesso di accertare che questo malware raccoglie dati importanti come informazioni di sistema, cronologia di navigazione, password salvate, file di portafogli di criptovaluta, nonché credenziali per servizi cloud (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).
Il sito trappola è stato messo fuori uso ma chi ha scaricato quella applicazione è il caso che proceda ad una bonifica degli apparati su cui è stata accidentalmente installata.
