Бэкдор распространялся под видом легитимного установщика ПО для Linux

В ходе атаки легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением ОС Linux. Жертвы заражались при попытке загрузить программное обеспечение с официального сайта Free Download Manager, что указывает на потенциальную атаку на цепочку поставок. Некоторые образцы вредоносного ПО, использованного в этой кампании, впервые были выявлены в 2013 году. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России. 

Детали атаки. Обнаруженная вредоносная кампания нацелена на системы Linux. Если жертва открывала в браузере легитимный веб-сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях ее перенаправляло на вредоносный URL-адрес, с которого скачивалась вредоносная версия, выпущенная в 2020 году. После запуска файла на устройстве жертвы устанавливался бэкдор — разновидность троянца для получения удаленного доступа. С зараженного устройства злоумышленники могли красть различную информацию, в том числе сведения о системе, историю браузера, сохраненные пароли, данные криптовалютных кошельков и даже учетные данные облачных сервисов, таких как Amazon Web Services или Google Cloud. 

Атака на цепочку поставок. Эксперты «Лаборатории Касперского» полагают, что это может быть атакой на цепочку поставок. В ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения. Но в другом видео загружалась легитимная версия программного обеспечения. Вероятно, разработчики вредоносного ПО предусмотрели, что жертва перенаправлялась на вредоносную версию ПО с определенной степенью вероятности или на основе цифрового следа потенциальной жертвы. В результате некоторые пользователи сталкивались с вредоносным пакетом, а другие получали легитимный.

«Распространено заблуждение, что для Linux не существует вредоносного ПО, поэтому многие пользователи не устанавливают на такие устройства защитные решения. Однако отсутствие средств обеспечения кибербезопасности как раз делает их более привлекательными для злоумышленников. Ситуация с Free Download Manager демонстрирует, что кибератаки на Linux могут долго оставаться необнаруженными. Чтобы этого избежать, нужно обязательно заботиться об эффективных мерах безопасности для компьютеров и серверов, работающих на этой операционной системе», — объясняет Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

Технический анализ кампании представлен на Securelist. 

Чтобы избежать угроз для устройств на ОС Linux, эксперты рекомендуют:

• установить проверенное решение для обеспечения безопасности конечных устройств, например Kaspersky Security для бизнеса. Оно позволяет обнаружить известные и неизвестные угрозы с помощью поведенческого анализа и мониторинга аномалий;
• для встроенных систем на базе Linux использовать Kaspersky Embedded Systems Security; 
• украденные учетные данные могут быть выставлены на продажу в даркнете, потому стоит использовать Kaspersky Digital Footprint Intelligence для мониторинга теневых ресурсов и оперативного выявления связанных с ними угроз.