Бэкдор под видом установщика ПО для Linux
Как сообщила «Лаборатория Касперского», ее эксперты обнаружили вредоносную кампанию с использованием Free Download Manager, которая длилась более трех лет. В ходе атаки легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением ОС Linux. Жертвы заражались при попытке загрузить ПО с официального сайта Free Download Manager, что указывает на потенциальную атаку на цепочку поставок.
Обнаруженная кампания нацелена на системы Linux. Если пользователь открывал в браузере легитимный веб-сайт Free Download Manager, а затем нажимал кнопку загрузки программы для Linux, то в некоторых случаях он перенаправлялся на вредоносный URL-адрес, с которого скачивалась вредоносная версия, выпущенная в 2020 г. После запуска файла на устройстве жертвы устанавливался троянец-бэкдор для получения удаленного доступа. С зараженного устройства злоумышленники могли красть такую информацию, как сведения о системе, историю браузера, сохраненные пароли, данные криптовалютных кошельков и даже учетные данные облачных сервисов, например, Amazon Web Services или Google Cloud.
Некоторые образцы вредоносного ПО, использованного в этой кампании, впервые были выявлены в 2013 г. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.
Как полагают эксперты «Лаборатории Касперского», это может быть атакой на цепочку поставок. В ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения. Но в другом видео загружалась легитимная версия ПО. Вероятно, потенциальную жертву перенаправляли на вредоносную версию ПО с определенной степенью вероятности или на основе ее цифрового следа. В результате некоторые пользователи сталкивались с вредоносным пакетом, а другие получали легитимный.
Как комментируют в «Лаборатории Касперского», существует заблуждение, что для Linux нет вредоносного ПО, поэтому многие пользователи не устанавливают на такие устройства средства защиты. Однако их отсутствие как раз делает устройства более привлекательными для злоумышленников. К тому же ситуация с Free Download Manager демонстрирует, что кибератаки на Linux могут долго оставаться необнаруженными.