Un site de gestion de téléchargement a servi des logiciels malveillants aux utilisateurs de Linux qui ont volé furtivement des mots de passe et d’autres informations sensibles pendant plus de trois ans dans le cadre d’une attaque sur la chaîne d’approvisionnement.
Le modus operandi impliquait d’établir un shell inversé sur un serveur contrôlé par un acteur et d’installer un voleur Bash sur le système compromis. La campagne, qui s’est déroulée entre 2020 et 2022, n’est plus active.
« Ce voleur collecte des données telles que des informations système, l’historique de navigation, les mots de passe enregistrés, les fichiers de portefeuille de crypto-monnaie, ainsi que les informations d’identification des services cloud (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure) », ont déclaré les chercheurs de Kaspersky Georgy Kucherin et Leonid Bezvershenko.
Le site Web en question est freedownloadmanager[.]org, qui, selon la société russe de cybersécurité, propose un logiciel Linux légitime appelé « Free Download Manager », mais a commencé à rediriger à partir de janvier 2020 certains utilisateurs qui tentaient de le télécharger vers un autre domaine deb.fdmpkg.[.]org qui servait un paquet Debian piégé.
On soupçonne que les auteurs du malware ont conçu l’attaque sur la base de certains critères de filtrage prédéfinis (par exemple, une empreinte numérique du système) pour diriger de manière sélective les victimes potentielles vers la version malveillante. Les redirections malveillantes ont pris fin en 2022 pour des raisons inexplicables.
Le paquet Debian contient un script de post-installation qui est exécuté lors de son installation pour supprimer deux fichiers ELF, /var/tmp/bs et une porte dérobée basée sur DNS (/var/tmp/crond) qui lance un shell inversé vers une commande – et -serveur de contrôle (C2), qui est reçu en réponse à une requête DNS adressée à l’un des quatre domaines –
- 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
- c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
- 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
- c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
« Le protocole de communication est, selon le type de connexion, SSL ou TCP », ont indiqué les chercheurs. « Dans le cas de SSL, la porte dérobée crond lance l’exécutable /var/tmp/bs et lui délègue toutes les communications ultérieures. Sinon, le shell inverse est créé par la porte dérobée crond elle-même. »
Le but ultime de l’attaque est de déployer un malware voleur et de récolter des données sensibles du système. Les informations collectées sont ensuite téléchargées sur le serveur de l’attaquant à l’aide d’un binaire de téléchargement téléchargé depuis le serveur C2.
crond, a déclaré Kaspersky, est une variante d’une porte dérobée connue sous le nom de Bew qui est en circulation depuis 2013, tandis qu’une première version du malware voleur Bash a été précédemment documentée par Yoroi en juin 2019.
On ne sait pas exactement comment le compromis a réellement eu lieu ni quels étaient les objectifs finaux de la campagne. Ce qui est évident, c’est que tous ceux qui ont téléchargé le logiciel n’ont pas reçu le package malveillant, ce qui lui a permis d’échapper à la détection pendant des années.
« Bien que la campagne soit actuellement inactive, ce cas de Free Download Manager démontre qu’il peut être assez difficile de détecter à l’œil nu les cyberattaques en cours sur les machines Linux », ont déclaré les chercheurs.
« Il est donc essentiel que les machines Linux, qu’elles soient de bureau ou de serveur, soient équipées de solutions de sécurité fiables et efficaces. »
