I ricercatori di sicurezza di Kaspersky hanno scoperto che il malware Linux è stato distribuito tramite il sito Web ufficiale di Free Download Manager (FDM) tra il 2020 e il 2022. Ma non tutti i pacchetti Debian scaricati erano contaminati.
Reindirizzamento a dominio discutibile
come chi Rapporto dei ricercatori di Kaspersky Secondo i rapporti, in alcuni casi la pagina di download di FDM viene reindirizzata al dominio dannoso quando si tenta di scaricare il pacchetto Debian dell’applicazione deb.fdmpkg[.]org in giro. La versione legittima, invece, è fondamentalmente meno buona files2.freedownloadmanager[.]org Ospitato.
In risposta ai commenti degli utenti sul blog del gestore dei download, è stato nominato un utente blogadmin Nel giugno 2021Che non esiste alcun collegamento tra il primo dominio e il download manager gratuito e che questo “sconosciuto” Si può quindi presumere che lo stesso fornitore del software sia stato vittima di un attacco informatico e che un terzo malintenzionato abbia coordinato la diffusione del malware.
Non è ancora chiaro quali criteri verranno utilizzati per il reindirizzamento deb.fdmpkg[.]org Questo non è successo affatto, poiché non succede a tutti gli utenti Linux. I ricercatori sospettano che lo script abbia rilevato i sistemi dei visitatori del sito per caso o utilizzando una sorta di impronta digitale.
Gestore di download gratuito con Infostealer al seguito
Invece del normale Free Download Manager, si dice che gli utenti interessati abbiano ricevuto una versione manomessa dell’app attraverso la quale gli autori malintenzionati sembrano distribuire malware per il furto di informazioni, ovvero un software dannoso che ruba dati sensibili dai sistemi infetti e li trasferisce a un server controllato dagli aggressori . Nel caso dell’app FDM manomessa si tratterebbe, tra l’altro, della cronologia del browser e dei dati di accesso a noti servizi cloud e portafogli di criptovalute.
I ricercatori hanno trovato prove del periodo durante il quale il malware si è diffuso su piattaforme come Reddit, Stack Overflow e altre. Sulla base delle discussioni svoltesi in tale sede sono giunti alla conclusione che i discutibili reindirizzamenti dovrebbero avvenire tra il 2020 e il 2022, quindi per circa tre anni. Tra le altre cose, gli utenti hanno discusso di quanto segue: Problemi di riavvio o spegnimento I loro sistemi Linux dopo aver installato Free Download Manager. Tuttavia, secondo gli esperti di sicurezza, nessuno si era accorto che i sistemi interessati fossero infettati da malware.
Le infezioni possono essere facilmente identificate
È relativamente facile rilevare l’infezione causata dal malware sopra menzionato. Gli utenti Linux che hanno scaricato e installato Free Download Manager tramite il sito Web del provider tra il 2020 e il 2022 dovrebbero sfruttare questa opzione. Il malware può essere identificato dalla presenza dei seguenti file:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
- /var/tmp/atd
Si consiglia vivamente di eliminare questi file a causa della loro natura dannosa. Non è però chiaro se il malware possa essere reso completamente innocuo o se possa lasciare ulteriori tracce finora sconosciute nel sistema.
Oltre al pacchetto Debian, Free Download Manager è disponibile anche per Windows, macOS e Android. Dal rapporto dei ricercatori di Kaspersky non risulta chiaro se anche i download per questi ultimi tre sistemi siano stati reindirizzati al dominio sospetto. Si può però presumere che non sia stato così, altrimenti i ricercatori non si sarebbero concentrati esclusivamente su Linux nelle loro dichiarazioni.