Kaspersky scopre un malware Linux che da tre anni rubava informazioni agli utenti dopo aver installato un pacchetto Debian

Per la serie è bene non abbassare mai la guardia, stare sempre allerta e non scaricare mai software di cui non si conosce la provenienza (sì, anche in Linux), ecco la storia di un malware scoperto dall’azienda di sicurezza Kaspersky che da ben tre anni si aggirava nella rete.

Kaspersky ha pubblicato l’analisi di quella che si è rivelata essere una supply chain innescata dal sito Free Download Manager, in cui sulla base di alcuni specifici criteri (che non sono stati confermati in quanto i responsabili del sito fino ad ora hanno taciuto) i download legittimi venivano reindirizzati verso un dominio insicuro, deb.fdmpkg[.]org, all’interno del quale era presente un file .deb contenente codice malevolo.

La versione di Free Download Manager installata dal pacchetto infetto è stata rilasciata il 24 gennaio 2020. Lo script di post installazione contiene commenti in russo e ucraino, comprese informazioni sui miglioramenti apportati al malware e dichiarazioni di attivisti, menzionando le date 20200126 (26 gennaio 2020) e 20200127 (27 gennaio 2020).

Il malware in sé contiene il consueto circo di strumenti dedicati al furto di informazioni, che vengono attivati dopo l’installazione mediante un cron job che parte ad ogni boot: un backdoor basata sul DNS ed una reverse shell.

In questo schema è riassunto il meccanismo e la ricca fornitura presente nel malware:

Accorgersi del problema è stato possibile osservando alcune segnalazioni di utenti, che hanno visto bloccarsi il proprio processo di spegnimento senza ragione, come riporta l’articolo, in questo modo:

Da qui le indagini, e la conclusione che il non spegnimento era causato da “operazioni in corso”: furti, scassi, quelle robe lì.

Capire se si è installato un pacchetto infetto dovrebbe essere piuttosto semplice, andando a controllare i checksum dei pacchetti, come spiega il paragrafo “Indicators of Compromise”, così come andando a verificare le cartelle in cui il malware deposita i file:

/etc/cron.d/collect
/var/tmp/crond
/var/tmp/bs
/var/tmp/atd

Altro da aggiungere? Sì: prudenza, prudenza, prudenza.


Update del 20/09/2023: Siamo stati contattati dal team di Free Download Manager che ci ha fornito aggiornamenti in merito alla questione, aggiornamenti che sono riportati anche sul blog ufficiale del progetto.

Insieme al suggerimento di uno scan per malware sui PC nei quali il software è stato scaricato arriva anche la conferma del veicolo d’attacco, ossia uno script compromesso all’interno del sito che ha modificato la pagina dei download di Free Download Manager (con conferma del fatto che il problema è in circolo dal 2020) insieme ad uno script bash che effettua un check della presenza del malware sui sistemi in cui viene lanciato.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

2 risposte a “Kaspersky scopre un malware Linux che da tre anni rubava informazioni agli utenti dopo aver installato un pacchetto Debian”

  1. Avatar John Toscano
    John Toscano

    E’ bene precisare e ribadire che si tratta di un sito di terze parti e non di un pacchetto Debian preso dai repository ufficiali della distribuzione, precisazione di forte importanza che cambia tutto il tono della vicenda.

    Lasciando stare la perplessità su chi sia la fascia di popolazione che scarica Free Download Manager per Linux quando ci sono wget, curl e quant’altro (dai repo ufficiali tra l’altro), un attacco del genere avrebbe funzionato anche su Mac o Windows o qualsiasi altra distro, visto che la dinamica è stata “scarico qualcosa da un sito a caso e spero nel meglio”, quindi il nome di Debian ce lo vedrei ben poco associato a questa cosa

  2. Avatar Raoul Scarazzini

    Il fatto che si tratti di un sito di terze parti, non legato a Debian, mi pare emerga con chiarezza. Il punto centrale però è che un .deb può essere installato in tutte le distribuzioni dell’universo Debianizzato, quindi non è per nulla remota l’idea che una cosa simile possa attecchire. Tanto più che non sempre il .deb in questione era infetto…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *