ClickCease Free Download Manager Alerta a los usuarios de Linux: Ataque a la cadena de suministro

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Free Download Manager Alerta a los usuarios de Linux: Ataque a la cadena de suministro

Rohan Timalsina

28 de septiembre de 2023 - Equipo de expertos TuxCare

Securelist ha hecho pública una preocupante revelación para los usuarios de Linux, desvelando que un paquete de Debian asociado al ampliamente utilizado "Gestor de descargas gratuitas" contiene malware, lo que supone un riesgo de seguridad sustancial para los usuarios desprevenidos.

Los datos telemétricos de Securelist también demuestran que, sólo en el primer semestre de 2023, la asombrosa cifra de 260.000 instancias distintas de Linux estuvieron vinculadas a malware y otras actividades maliciosas.

 

Free Download Manager Repositorio Debian Infectado

El problema radica en un repositorio de Debian vinculado al dominio deb.fdmpkg[.]org. Al visitar este dominio web, los usuarios se encuentran con una página de aspecto inocuo que oculta intenciones malévolas. Este subdominio pretende alojar un repositorio de Debian para el 'Free Download Manager', un conocido software utilizado por muchos.

Tras un examen más detallado, nuestro equipo de investigación descubrió un paquete Debian para el "Gestor de descargas gratuito" disponible para su descarga a través de la dirección https://deb.fdmpkg[.]org/freedownloadmanager.deb URL. Este paquete ocultaba un script 'postinst' comprometido que se ejecuta durante la instalación. Este script deposita subrepticiamente dos archivos ELF en /var/tmp/crond y /var/tmp/bs estableciendo la persistencia mediante una tarea cron almacenada en /etc/cron.d/collect. Esta tarea activa el /var/tmp/crond cada 10 minutos.

Es esencial señalar que el paquete infectado se remonta al 24 de enero de 2020. El script "postinst" contiene comentarios en ruso y ucraniano que ofrecen información sobre la evolución del malware y las motivaciones de los atacantes.

 

Script de robo de Bash

Tras la instalación, el paquete introduce un archivo ejecutable, /var/tmp/crond, sirviendo como puerta trasera. En particular, este ejecutable funciona independientemente de las bibliotecas externas, pero realiza llamadas al sistema con la biblioteca dietlibc enlazada estáticamente para acceder a la API de Linux.

Tras la inicialización, la puerta trasera inicia una solicitud DNS para una cadena de 20 bytes codificada hexadecimalmente en <hex-encoded 20-byte string>.u.fdmpkg[.]org. Esta solicitud arroja dos direcciones IP, revelando la dirección y el puerto de un servidor secundario de Mando y Control (C2). Este protocolo de comunicación malévolo puede emplear SSL o TCP, dependiendo del tipo de conexión. Si se utiliza SSL, /var/tmp/bs se activa para posteriores comunicaciones; de lo contrario, el propio backdoor crond genera un shell inverso.

Profundizando en las tácticas del atacante, nuestro equipo descubrió que el backdoor crond genera un shell inverso. Este infiltrado sigiloso recopila una serie de datos confidenciales, como información del sistema, historial de navegación, contraseñas almacenadas, archivos de monederos de criptomonedas y credenciales de servicios en la nube como AWS, Google Cloud, Oracle Cloud Infrastructure y Azure.

Posteriormente, el infiltrado descarga un binario uploader desde el servidor C2, almacenándolo en /var/tmp/atd. Este binario se emplea entonces para transmitir los datos robados a la infraestructura de los atacantes, concluyendo así su nefasta operación.

 

Conclusión

Sorprendentemente, el sitio web oficial no aloja el malware; en su lugar, algunos usuarios de Linux son redirigidos al archivo deb comprometido. Han aparecido algunos informes en Reddit y StackOverflow, en los que los usuarios señalan un comportamiento sospechoso de Free Download Manager entre 2020 y 2022.

Recomendamos encarecidamente la desinstalación inmediata del paquete Debian 'Free Download Manager' si está instalado actualmente en su sistema. Los desarrolladores de FDM también han publicado un script para detectar posibles infecciones en dispositivos Linux tras este ataque a la cadena de suministro.

 

Las fuentes de este artículo incluyen un artículo de DebugPointNews.

Resumen
Free Download Manager Alerta a los usuarios de Linux: Ataque a la cadena de suministro
Nombre del artículo
Free Download Manager Alerta a los usuarios de Linux: Ataque a la cadena de suministro
Descripción
Descubra el ataque a la cadena de suministro de Free Download Manager dirigido a usuarios de Linux con el paquete malicioso Debian que contiene bash stealer.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín