Эксперты компании сообщили, что вредоносная кампания с использованием Free Download Manager длилась более трех лет. В ходе атак легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением Linux. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.
Как правило, жертвы заражались при попытке загрузить софт с официального сайта Free Download Manager (freedownloadmanager[.]org), то есть, скорее всего, речь идет об атаке на цепочку поставок.
Если жертва открывала легитимный сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях ее перенаправляло на вредоносный URL-адрес, с которого скачивалась вредоносная версия, выпущенная в 2020 году.
После запуска файла на устройстве жертвы устанавливался бэкдор — разновидность трояна для удаленного доступа. С зараженного устройства злоумышленники могли похищать различную информацию, в том числе сведения о системе, историю браузера, сохраненные пароли, данные криптовалютных кошельков и даже учетные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.
При этом отмечается, что некоторые образцы малвари, использованного в этой кампании, впервые были выявлены еще в 2013 году, а вредонос представляет собой модифицированную версию бэкдора Bew. Этот вредонос не раз подвергался анализу. Одно из первых описаний было опубликовано в 2014 году. В дополнение к этому в 2017 году ЦЕРН опубликовала сообщение о кампании BusyWinman с использованием Bew. По данным ЦЕРН, заражение Bew происходило через drive-by загрузки.
Исследователи полагают, что произошедшее могло представлять собой атаку на цепочку поставок. Так, в ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения, хотя в других видео загружалась легитимная версия ПО.
Эксперты делают вывод, что разработчики малвари предусмотрели, что жертва перенаправлялась на вредоносную версию ПО «с определенной степенью вероятности или на основе цифрового следа потенциальной жертвы». В результате некоторые пользователи сталкивались с малварью, а другие получали легитимный софт.
«Распространено заблуждение, что для Linux не существует вредоносного ПО, поэтому многие пользователи не устанавливают на такие устройства защитные решения. Однако отсутствие средств обеспечения кибербезопасности как раз делает их более привлекательными для злоумышленников. Ситуация с Free Download Manager демонстрирует, что кибератаки на Linux могут долго оставаться необнаруженными. Чтобы этого избежать, нужно обязательно заботиться об эффективных мерах безопасности для компьютеров и серверов, работающих на этой операционной системе», — объясняет Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
В отчете отмечается, что компания связалась с разработчиками Free Download Manager и сообщила им об этой кампании, но пока не получила ответа.
UPD.
Разработчики Free Download Manager опубликовали официальное заявление о ситуации, в котором сообщили, что еще в 2020 году «определенная страница на сайте была скомпрометирована украинской хакерской группой, которая использовала ее для распространения вредоносного программного обеспечения».
«Пострадать потенциально могла лишь небольшая группа пользователей, а именно те люди, кто пытался загрузить FDM для Linux в период с 2020 по 2022 год. По нашим оценкам, с этой проблемой могли столкнуться менее 0,1% посетителей сайта. Вероятно, именно из-за этого ограниченного масштаба эта проблема долго оставалась незамеченной. Примечательно, что эта уязвимость была случайно устранена во время планового обновления сайта в 2022 году», — гласит заявление.
Также в сообщении разработчиков отмечается, что «Лаборатория Касперского» не смогла связаться с ними из-за проблемы в одной из контактных форм, которая работала не совсем корректно. Специалисты подчеркивают, что уже начали тщательное расследование инцидента, пообещали усилить защиту и принять дополнительные меры для предотвращения подобных инцидентов в будущем.