Ciberdelincuentes han logrado distribuir un paquete contenedor de ‘malware’ para equipos con Linux a través del sitio web oficial del gestor Free Download Manager, que habría permanecido en activo tres años sin el conocimiento de los usuarios.
Free Download Manager es un gestor de descargas para los sistemas operativos Windows, macOS, Linux y Android. Con él se pueden descargar y organizar archivos, torrents y vídeos.
Investigadores de Kaspersky han descubierto un dominio que presuntamente albergaba un repositorio de Free Download Manager para Linux y que resultó contener un 'script' infectado que se ejecuta durante la instalación de este gestor.
Para probar la capacidad de este paquete de 'malware', los analistas descargaron esta versión infectada del servicio, que se activa a través del cron, esto es, un administrador de tareas del sistema operativo que permite ejecutar comandos en un momento determinado.
Después de analizar el tráfico generado por este gestor, los investigadores determinaron que los atacantes implementaron un Bash Script -un intérprete de comandos de la interfaz o shell del sistema operativo que interactúa con este para ejecutar estas órdenes- en el 'sandbox'.
Este ladrón recopila datos como la información del sistema, el historial de navegación, las contraseñas guardadas, los archivos de las criptocarteras o credenciales para servicios en la nube, como Google Cloud y Oracle.
Desde Kaspersky han señalado que, en base a los comentarios de usuarios a través de foros y redes sociales, que notificaban problemas con el gestor instalado, este repositorio de 'malware' se habría estado descargando inconscientemente durante al menos tres años, desde 2020 hasta 2022.
Asimismo, tomando como referencia vídeos de YouTube en los que se explicaba cómo descargar la aplicación, han comentado que descubrieron que algunos de ellos mostraban la 'url' de descarga maliciosa y otros la benigna.
Por ello, han sugerido que los desarrolladores habrían programado la redirección maliciosa para que esta apareciera con cierto grado de probabilidad o bien basándose en la huella digital de la víctima potencial.
‘MALWARE’ ESCURRIDIZO
La firma de ciberseguridad ha reconocido que el 'malware' observado en esta campaña se conoce desde 2013 y que habría llegado a todo el mundo, esto es, a países como Brasil, China, Rusia o Arabia Saudí.
Para justificar que no haya sido interceptado durante sus tres años de actividad en Free Download Manager, Kaspersky ha señalado que el 'malware' para Linux se observa con menos frecuencia que en otros sistemas operativos, como Windows.
Con ello, ha dicho que las infecciones con este paquete malicioso estuvieron sujetas al azar, puesto que algunos de los usuarios sí descargaron la versión benigna del gestor de descargas, frente a otros que instalaron la infectada.
Por otra parte, ha insistido en que los usuarios que reportaron problemas con Free Download Manager “no sospechaban” que estos fueran causados por ‘software’ malicioso. Finalmente, Kaspersky ha puntualizado que esta campaña está actualmente inactiva.
RESPUESTA
Free Download Manager reconoció los informes sobre preocupaciones de seguridad y aseguró que inició una investigación del caso.
A través de un mensaje indicó que “a partir de ahora, todos los enlaces en el sitio web de FDM son seguros y funcionales”.
Explicó que fueron informados por los hallazgos de Kaspersky Lab del un incidente de seguridad pasado.
“Parece que una página web específica de nuestro sitio fue comprometida por un grupo de piratas informáticos ucranianos, aprovechándola para distribuir software malicioso. Solo un pequeño subconjunto de usuarios, específicamente aquellos que intentaron descargar FDM para Linux entre 2020 y 2022, estuvieron potencialmente expuestos”, explicó en su reporte.
En el escrito menciona que “se estima que mucho menos del 0.1% de nuestros visitantes podrían haber encontrado este problema. Este alcance limitado es probablemente la razón por la que el problema no se ha detectado hasta ahora. Curiosamente, esta vulnerabilidad se resolvió sin saberlo durante una actualización de rutina del sitio en 2022″.
Paralelo a las investigaciones, Free Download Manager aseguró que tomó acciones inmediatas: “Estamos reforzando nuestras defensas e implementando medidas adicionales para evitar este tipo de vulnerabilidades en el futuro”, entre otras medidas.
Enfatizó que para obtener más información se pude consultar el sitio web oficial de FDM.