Getty Images | postérieurement
Un site de téléchargement a subrepticement servi des logiciels malveillants aux utilisateurs de Linux qui ont volé des mots de passe et d’autres informations sensibles pendant plus de trois ans jusqu’à ce qu’il soit finalement silencieux, ont déclaré mardi des chercheurs.
Le site, gestionnaire de téléchargement gratuit[.]org, proposait une version inoffensive d’une offre Linux connue sous le nom de Free Download Manager. À partir de 2020, le même domaine redirigeait parfois les utilisateurs vers le domaine deb.fdmpkg[.]org, qui diffusait une version malveillante de l’application. La version disponible sur le domaine malveillant contenait un script qui téléchargeait deux fichiers exécutables dans les chemins de fichiers /var/tmp/crond et /var/tmp/bs. Le script a ensuite utilisé le planificateur de tâches cron pour lancer le fichier /var/tmp/crond toutes les 10 minutes. Avec cela, les appareils qui avaient installé la version piégée de Free Download Manager ont été définitivement détournés.
Après avoir accédé à une adresse IP du domaine malveillant, la porte dérobée a lancé un shell inversé qui a permis aux attaquants de contrôler à distance l’appareil infecté. Des chercheurs de Kaspersky, la société de sécurité qui a découvert le logiciel malveillant, ont ensuite analysé la porte dérobée d’un appareil de laboratoire pour observer son comportement.
« Ce voleur collecte des données telles que des informations système, l’historique de navigation, les mots de passe enregistrés, les fichiers de portefeuille de crypto-monnaie, ainsi que les informations d’identification des services cloud (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure) », ont écrit les chercheurs dans un rapport mardi. « Après avoir collecté des informations sur la machine infectée, le voleur télécharge un binaire de téléchargement depuis le serveur C2 et l’enregistre dans /var/tmp/atd. Il utilise ensuite ce binaire pour télécharger les résultats de l’exécution du voleur sur l’infrastructure des attaquants.
L’image ci-dessous illustre la chaîne d’infection.
Kaspersky
Après avoir recherché des publications sur les réseaux sociaux traitant de Free Download Manager, les chercheurs ont découvert que certaines personnes ayant visité freedownloadmanager[.]org a reçu une version inoffensive de l’application, tandis que d’autres ont été redirigés vers l’un des domaines malveillants suivants qui servaient la version piégée.
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
On ne sait pas pourquoi certains visiteurs ont reçu la version non malveillante du logiciel et d’autres ont été redirigés vers un domaine malveillant. Les redirections malveillantes ont pris fin en 2022 pour des raisons inconnues.
La porte dérobée est une version mise à jour du malware suivi sous le nom de Bew, publié en 2014. Bew était l’un des composants utilisés dans une attaque en 2017. Le voleur appelé par la porte dérobée a été installé dans une campagne de 2019 après avoir exploité pour la première fois une vulnérabilité dans le Serveur de messagerie Exim.
« Bien que la campagne soit actuellement inactive », ont écrit les chercheurs, faisant référence à l’incident récent, « ce cas de Free Download Manager démontre qu’il peut être assez difficile de détecter à l’œil nu les cyberattaques en cours sur les machines Linux. » Ils ont ajouté :
Le malware observé lors de cette campagne est connu depuis 2013. De plus, les implants se sont révélés assez bruyants, comme le démontrent de multiples posts sur les réseaux sociaux. Selon nos données télémétriques, les victimes de cette campagne se trouvent partout dans le monde, notamment au Brésil, en Chine, en Arabie Saoudite et en Russie. Compte tenu de ces faits, il peut sembler paradoxal que le package malveillant Free Download Manager soit resté indétecté pendant plus de trois ans.
- Contrairement à Windows, les malwares Linux sont beaucoup plus rarement observés ;
- Les infections par le paquet Debian malveillant se sont produites avec un certain degré de probabilité : certains utilisateurs ont reçu le paquet infecté, tandis que d’autres ont fini par télécharger le paquet inoffensif ;
- Les utilisateurs des réseaux sociaux discutant des problèmes de Free Download Manager ne soupçonnaient pas qu’ils étaient causés par des logiciels malveillants.
La publication propose une variété de hachages de fichiers, de domaines et d’adresses IP que les gens peuvent utiliser pour indiquer s’ils ont été ciblés ou infectés dans la campagne, ce que les chercheurs soupçonnent d’être une attaque de la chaîne d’approvisionnement impliquant la version inoffensive de Free Download Manager. Les chercheurs ont déclaré que les personnes qui exécutaient le gestionnaire de téléchargement gratuit[.]org n’a pas répondu aux messages les informant de la campagne. Ils n’ont pas non plus répondu à une demande pour ce message.