Kaspersky scopre un malware Linux che da tre anni rubava informazioni agli utenti dopo aver installato un pacchetto Debian

1 year ago 505

Per la serie è bene non abbassare mai la guardia, stare sempre allerta e non scaricare mai software di cui non si conosce la provenienza (sì, anche in Linux), ecco la storia di un malware scoperto dall’azienda di sicurezza Kaspersky che da ben tre anni si aggirava nella rete.

Kaspersky ha pubblicato l’analisi di quella che si è rivelata essere una supply chain innescata dal sito Free Download Manager, in cui sulla base di alcuni specifici criteri (che non sono stati confermati in quanto i responsabili del sito fino ad ora hanno taciuto) i download legittimi venivano reindirizzati verso un dominio insicuro, deb.fdmpkg[.]org, all’interno del quale era presente un file .deb contenente codice malevolo.

La versione di Free Download Manager installata dal pacchetto infetto è stata rilasciata il 24 gennaio 2020. Lo script di post installazione contiene commenti in russo e ucraino, comprese informazioni sui miglioramenti apportati al malware e dichiarazioni di attivisti, menzionando le date 20200126 (26 gennaio 2020) e 20200127 (27 gennaio 2020).

Il malware in sé contiene il consueto circo di strumenti dedicati al furto di informazioni, che vengono attivati dopo l’installazione mediante un cron job che parte ad ogni boot: un backdoor basata sul DNS ed una reverse shell.

In questo schema è riassunto il meccanismo e la ricca fornitura presente nel malware:

Accorgersi del problema è stato possibile osservando alcune segnalazioni di utenti, che hanno visto bloccarsi il proprio processo di spegnimento senza ragione, come riporta l’articolo, in questo modo:

Da qui le indagini, e la conclusione che il non spegnimento era causato da “operazioni in corso”: furti, scassi, quelle robe lì.

Capire se si è installato un pacchetto infetto dovrebbe essere piuttosto semplice, andando a controllare i checksum dei pacchetti, come spiega il paragrafo “Indicators of Compromise”, così come andando a verificare le cartelle in cui il malware deposita i file:

/etc/cron.d/collect
/var/tmp/crond
/var/tmp/bs
/var/tmp/atd

Altro da aggiungere? Sì: prudenza, prudenza, prudenza.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: , , ,

Navigazione articoli

Read Entire Article