Free Download Manager Alerta a los usuarios de Linux: Ataque a la cadena de suministro
Securelist ha hecho pública una preocupante revelación para los usuarios de Linux, desvelando que un paquete de Debian asociado al ampliamente utilizado "Gestor de descargas gratuitas" contiene malware, lo que supone un riesgo de seguridad sustancial para los usuarios desprevenidos.
Los datos telemétricos de Securelist también demuestran que, sólo en el primer semestre de 2023, la asombrosa cifra de 260.000 instancias distintas de Linux estuvieron vinculadas a malware y otras actividades maliciosas.
Free Download Manager Repositorio Debian Infectado
El problema radica en un repositorio de Debian vinculado al dominio deb.fdmpkg[.]org
. Al visitar este dominio web, los usuarios se encuentran con una página de aspecto inocuo que oculta intenciones malévolas. Este subdominio pretende alojar un repositorio de Debian para el 'Free Download Manager', un conocido software utilizado por muchos.
Tras un examen más detallado, nuestro equipo de investigación descubrió un paquete Debian para el "Gestor de descargas gratuito" disponible para su descarga a través de la dirección https://deb.fdmpkg[.]org/freedownloadmanager.deb
URL. Este paquete ocultaba un script 'postinst' comprometido que se ejecuta durante la instalación. Este script deposita subrepticiamente dos archivos ELF en /var/tmp/crond
y /var/tmp/bs
estableciendo la persistencia mediante una tarea cron almacenada en /etc/cron.d/collect
. Esta tarea activa el /var/tmp/crond
cada 10 minutos.
Es esencial señalar que el paquete infectado se remonta al 24 de enero de 2020. El script "postinst" contiene comentarios en ruso y ucraniano que ofrecen información sobre la evolución del malware y las motivaciones de los atacantes.
Script de robo de Bash
Tras la instalación, el paquete introduce un archivo ejecutable, /var/tmp/crond
, sirviendo como puerta trasera. En particular, este ejecutable funciona independientemente de las bibliotecas externas, pero realiza llamadas al sistema con la biblioteca dietlibc enlazada estáticamente para acceder a la API de Linux.
Tras la inicialización, la puerta trasera inicia una solicitud DNS para una cadena de 20 bytes codificada hexadecimalmente en <hex-encoded 20-byte string>.u.fdmpkg[.]org
. Esta solicitud arroja dos direcciones IP, revelando la dirección y el puerto de un servidor secundario de Mando y Control (C2). Este protocolo de comunicación malévolo puede emplear SSL o TCP, dependiendo del tipo de conexión. Si se utiliza SSL, /var/tmp/bs
se activa para posteriores comunicaciones; de lo contrario, el propio backdoor crond genera un shell inverso.
Profundizando en las tácticas del atacante, nuestro equipo descubrió que el backdoor crond genera un shell inverso. Este infiltrado sigiloso recopila una serie de datos confidenciales, como información del sistema, historial de navegación, contraseñas almacenadas, archivos de monederos de criptomonedas y credenciales de servicios en la nube como AWS, Google Cloud, Oracle Cloud Infrastructure y Azure.
Posteriormente, el infiltrado descarga un binario uploader desde el servidor C2, almacenándolo en /var/tmp/atd
. Este binario se emplea entonces para transmitir los datos robados a la infraestructura de los atacantes, concluyendo así su nefasta operación.
Conclusión
Sorprendentemente, el sitio web oficial no aloja el malware; en su lugar, algunos usuarios de Linux son redirigidos al archivo deb comprometido. Han aparecido algunos informes en Reddit y StackOverflow, en los que los usuarios señalan un comportamiento sospechoso de Free Download Manager entre 2020 y 2022.
Recomendamos encarecidamente la desinstalación inmediata del paquete Debian 'Free Download Manager' si está instalado actualmente en su sistema. Los desarrolladores de FDM también han publicado un script para detectar posibles infecciones en dispositivos Linux tras este ataque a la cadena de suministro.
Las fuentes de este artículo incluyen un artículo de DebugPointNews.