Kaspersky ha scoperto una campagna malevola che, da almeno tre anni, utilizza un installer del software Free Download Manager per diffondere una backdoor Linux.
I ricercatori hanno rilevato che le vittime sono state infettate scaricando il software dal sito ufficiale, indicando che possa trattarsi di un attacco alla supply chain. Le varianti del malware utilizzate sono state identificate inizialmente nel 2013 e le vittime si trovano in Paesi diversi, tra cui Brasile, Cina, Arabia Saudita e Russia.
Gli esperti di Kaspersky hanno identificato una nuova campagna malevola che colpisce i sistemi Linux, in cui gli attori delle minacce hanno distribuito una backdoor – un tipo di Trojan – sui dispositivi delle vittime, attraverso la versione infetta di Free Download Manager, un software gratuito molto conosciuto.
Una volta infettato il dispositivo, l’obiettivo dei cyber criminali è rubare le informazioni: dettagli di sistema, cronologia di navigazione, password salvate, file dei wallet di criptovalute e persino credenziali dei servizi cloud come Amazon Web Services o Google Cloud. Secondo la telemetria di Kaspersky, le vittime di questa campagna provengono da tutto il mondo, inclusi Paesi come Brasile, Cina, Arabia Saudita e Russia.
Gli esperti di Kaspersky ritengono probabile che si tratti di un attacco alla supply chain. Durante la ricerca delle procedure di installazione di Free Download Manager su YouTube per i computer Linux, i ricercatori hanno trovato alcuni casi in cui i creatori dei video hanno inavvertitamente mostrato il processo di infezione iniziale: cliccando il pulsante di download sul sito ufficiale veniva scaricata una versione malevola di Free Download Manager.
In un altro video, invece, veniva scaricata la versione legittima. È possibile che gli sviluppatori del malware abbiano programmato il reindirizzamento dannoso per farlo apparire spesso oppure che si siano basati sulla digital fingerprint della potenziale vittima. In questo modo, alcuni utenti si sono imbattuti nel pacchetto dannoso, mentre altri hanno scaricato quello legittimo.
Secondo quanto scoperto da Kaspersky, la campagna è durata almeno tre anni, dal 2020 al 2022, dato che il pacchetto installava la versione di Free Download Manager rilasciata nel 2020. Inoltre, in questo periodo, su siti come StackOverflow e Reddit ci sono state numerose discussioni riguardanti i problemi causati dalla distribuzione del software infetto. Tuttavia, gli utenti non erano a conoscenza del fatto che questi problemi derivassero da attività malevole.
Utente di Reddit che chiede se sia possibile installare Free Download Manager senza eseguire lo script, che in seguito si è scoperto contenere il malware
“Le varianti della backdoor analizzata sono state rilevate dalle soluzioni di Kaspersky per Linux sin dal 2013. Tuttavia, in generale, c’è l’errata convinzione che Linux sia immune ai malware, e perciò molti sistemi non hanno un’adeguata protezione di cybersecurity, rendendoli bersagli facili per i criminali informatici.
Il caso di Free Download Manager evidenzia la difficoltà di individuare a occhio nudo un cyberattacco in atto su un sistema Linux, perciò è fondamentale che i computer Linux-based, compresi desktop e server, implementino misure di sicurezza affidabili ed efficaci”, ha dichiarato Georgy Kucherin, Security Expert di GReAT, Kaspersky.
L’analisi tecnica della campagna è riportata nel post di Securelist. Per evitare le minacce, è opportuno adottare le seguenti misure di sicurezza:
⦁ Scegliere una soluzione affidabile di sicurezza endpoint, come ⦁ Kaspersky Endpoint Security for Business, dotata di funzionalità di rilevamento basate sul comportamento e di controllo delle anomalie per una protezione efficace contro minacce note e sconosciute.
⦁ Installare ⦁ Kaspersky Embedded Systems Security, una soluzione adattabile e multi-livello che fornisce sicurezza ottimizzata per i sistemi, i dispositivi e gli ambienti Linux-based in conformità con i rigorosi standard normativi, spesso applicabili a questi sistemi.
Utilizzare Kaspersky Digital Footprint Intelligence per monitorare le risorse nascoste e identificare tempestivamente le relative minacce, dato che le credenziali rubate potrebbero essere messe in vendita sul dark-web.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo.
Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/