Une attaque signalée contre la chaîne d’approvisionnement de Free Download Manager a redirigé les utilisateurs de Linux vers un référentiel de paquets Debian malveillant qui a installé un logiciel malveillant voleur d’informations.
Le malware utilisé dans cette campagne établit un shell inversé sur un serveur C2 et installe un voleur Bash qui collecte les données utilisateur et les informations d’identification du compte.
Kaspersky a découvert le cas potentiel de compromission de la chaîne d’approvisionnement en enquêtant sur des domaines suspects, et a constaté que la campagne était en cours depuis plus de trois ans.
Bien que l’entreprise de cybersécurité en ait informé l’éditeur de logiciels, elle n’a pas reçu de réponse, de sorte que les moyens exacts de compromission restent flous.
Breachtrace a également contacté le fournisseur de Free Download Manager pour un commentaire, mais nous n’avons pas reçu de réponse au moment de la publication.
Téléchargements directs et redirections
Kaspersky indique que la page de téléchargement officielle hébergée sur « freedownloadmanager[.]org » redirigeait parfois ceux qui tentaient de télécharger la version Linux vers un domaine malveillant sur « deb.fdmpkg[.]org », qui héberge un paquet Debian malveillant.
Étant donné que cette redirection ne se produit que dans certains cas et non dans tous les cas de tentatives de téléchargement à partir du site officiel, on suppose que les scripts ciblaient les utilisateurs avec des téléchargements malveillants sur la base de critères spécifiques mais inconnus.
Kaspersky a observé diverses publications sur les réseaux sociaux, Reddit, StackOverflow, YouTube et Unix Stack Exchange, dans lesquelles le domaine malveillant était diffusé comme source fiable pour obtenir l’outil Free Download Manager.
De plus, un article sur le site officiel de Free Download Manager en 2021 illustre comment un utilisateur infecté signale le domaine malveillant « fdmpkg.org » et s’est fait dire qu’il n’est pas affilié au projet officiel.
Sur les mêmes sites, les utilisateurs ont discuté des problèmes rencontrés avec le logiciel au cours des trois dernières années, échangeant des opinions sur les fichiers suspects et les tâches cron créées, sans se rendre compte qu’ils étaient infectés par des logiciels malveillants.
Alors que Kaspersky affirme que la redirection s’est arrêtée en 2022, d’anciennes vidéos YouTube [1, 2] affichent clairement des liens de téléchargement sur le gestionnaire de téléchargement officiel gratuit, redirigeant certains utilisateurs vers une URL http://deb.fdmpkg[.]org malveillante plutôt que vers freedownloadmanager. org.
Cependant, cette redirection n’a pas été utilisée pour tout le monde, avec une autre vidéo datant à peu près au même moment montrant un utilisateur téléchargeant le programme à partir de l’URL officielle.
Déploiement de logiciels malveillants voleurs d’informations
Le paquet Debian malveillant, utilisé pour installer des distributions Linux basées sur Debian, y compris Ubuntu et les forks basés sur Ubuntu, supprime un script de vol d’informations Bash et une porte dérobée crond qui établit un shell inversé à partir du serveur C2.
Le composant crond crée une nouvelle tâche cron sur le système qui exécute un script voleur au démarrage du système.
Kaspersky a découvert que la porte dérobée Crond est une variante du malware « Bew » en circulation depuis 2013, le voleur Bash ayant été repéré dans la nature et analysé pour la première fois en 2019. Cela dit, l’ensemble d’outils n’est pas nouveau.
La version volée de Bash analysée par Kaspersky collecte des informations système, l’historique de navigation, les mots de passe enregistrés sur les navigateurs, les clés d’authentification RMM, l’historique du shell, les données du portefeuille de crypto-monnaie et les informations d’identification des comptes pour AWS, Google Cloud, Oracle Cloud Infrastructure et les services cloud Azure.
This collected data is then uploaded to the attackers’ server, where it can be used to conduct further attacks or sold to other threat actors.
If you have installed the Linux version of the Free Download Manager between 2020 and 2022, you should check and see if the malicious version was installed.
To do this, look for the following files dropped by the malware, and if found, delete them:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
Malgré l’ancienneté des outils malveillants utilisés dans ces attaques, les signes d’activité suspecte sur les ordinateurs infectés et les multiples rapports sur les réseaux sociaux, le paquet Debian malveillant est resté indétectable pendant des années.
Kaspersky affirme que cela est dû à une combinaison de facteurs, notamment la rareté des logiciels malveillants sous Linux et leur propagation limitée due au fait qu’une partie seulement des utilisateurs sont redirigés vers l’URL non officielle.