Gli utenti Linux sono stati esposti al rischio di infezione malware, a causa di un (relativamente) popolare sito per scaricare software. A un certo punto, nel corso del 2020, il sito ha cominciato a distribuire malware, e ha continuato a funzionare per circa tre anni.
Come racconta Ars Technica, una volta installato il software era in grado di rubare password e altre informazioni sensibili. Per riuscire nell’intento il software scaricava due file eseguibili e poi il cron job scheduler per far sì che il file in /var/tmp/crond venisse lanciato ogni 10 minuti. In questo modo, i dispositivi che avevano installato la versione trappola di Free Download Manager venivano definitivamente bloccati.
Veniva così attivata una backdoor, usata dai criminali per controllare a distanza il dispositivo infetto, come hanno rilevato i ricercatori di Kaspersky.
"Questo stealer raccoglie dati come informazioni di sistema, cronologia di navigazione, password salvate, file di portafogli di criptovalute, nonché credenziali per i servizi cloud (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure)", spiegano i ricercatori, che descrivono l’operazione come “un possibile attacco supply-chain”.
L’aspetto notevole di tutta la vicenda non è tanto l’esistenza di un insolito malware per Linux, ma quanto il fatto che l’attacco è andato avanti per anni prima che qualcuno avesse dei sospetti. Anzi, la versione originale del malware è addirittura del 2013, e la campagna di infezione è stata rilevata in molti paesi diversi.
Una delle ragioni, secondo gli esperti di Kaspersky, è che i controlli sul software Linux sono sporadici, non abbastanza frequenti. Il testo lascia intendere che gli utenti Linux semplicemente si fidano troppo: in questo caso il malware causava anche problemi tecnici, ma nessuno ha pensato che forse si trattava di un malware in azione.
In altre parole, viene fuori che certi utenti Linux sono vittime facili da colpire proprio perché si sentono al sicuro.
Gli utenti che hanno discusso dei problemi di Free Download Manager non hanno sospettato che fossero causati da malware.
Immagine di copertina: virtosmedia, 123RF Free Images