Kaspersky a dévoilé une campagne malveillante utilisant un installateur du logiciel Free Download Manager pour diffuser une porte dérobée Linux pendant au moins trois ans. Selon les découvertes des chercheurs, les victimes de la campagne ont été infectées alors qu’elles avaient téléchargé le logiciel à partir du site officiel, ce qui indique qu’il s’agit d’une possible attaque de la chaîne d’approvisionnement. Les premières variantes du logiciel malveillant utilisé dans cette campagne ont été identifiées pour la première fois en 2013. On retrouve des victimes dans différents pays, dont le Brésil, la Chine, l’Arabie Saoudite et la Russie.
Les experts de Kaspersky ont identifié une nouvelle campagne malveillante ciblant les systèmes Linux, au cours de laquelle les acteurs de la menace ont déployé une porte dérobée (un type de cheval de Troie) sur les appareils des victimes en utilisant une version infectée d’un logiciel gratuit très utilisé : Free Download Manager. Une fois l’appareil infecté, les attaquants cherchent à voler des informations telles que les données système, l’historique de navigation, les mots de passe enregistrés, les fichiers de portefeuilles de crypto-monnaies, et même les informations d’identification pour les services cloud tels qu’Amazon Web Services ou Google Cloud. Selon la télémétrie de Kaspersky, cette campagne fait des victimes dans le monde entier, notamment au Brésil, en Chine, en Arabie saoudite et en Russie.
Selon les chercheurs de Kaspersky, il s’agit probablement d’une attaque de la chaîne d’approvisionnement. Au cours de l’enquête, les experts ont entre autre visionné des vidéos tutoriels d’installation de Free Download Manager sur YouTube pour les ordinateurs sous Linux, où les créateurs de contenu démontrent par inadvertance le processus d’infection initial : en cliquant sur le bouton de téléchargement sur le site officiel, le fichier téléchargé est en fait une version malveillante de Free Download Manager. Dans une autre vidéo, c’est bel et bien une version légitime du logiciel qui est téléchargée. Il est possible que les développeurs de logiciels malveillants aient programmé la redirection vers une version malveillante de sorte qu’elle ne soit pas systématique, et qu’elle apparaisse avec un certain degré de probabilité, en fonction de l’empreinte digitale de la victime potentielle. C’est ainsi que certains utilisateurs se sont retrouvés à télécharger le logiciel malveillant, tandis que d’autres ont obtenu la version légitime.
D’après les conclusions de Kaspersky, la campagne aurait duré au moins trois ans, de 2020 à 2022. Le programme malveillant procédait à l’installation de la version de Free Download Manager publiée en 2020. De plus, au cours de cette période, des discussions ont eu lieu sur des sites web tels que StackOverflow et Reddit au sujet des problèmes causés par la distribution du logiciel infecté. Toutefois, les utilisateurs ne savaient pas que ces problèmes étaient dus à une activité malveillante.
« Des variantes de la porte dérobée analysée ont été détectées par les solutions Kaspersky pour Linux depuis 2013. Un des problèmes réside dans le fait que beaucoup croient que Linux est immunisé contre les logiciels malveillants, ce qui fait que nombre de ces systèmes ne bénéficient pas d’une protection adéquate en matière de cybersécurité. Ce manque de protection fait des systèmes sous Linux des cibles préférentielles pour les cybercriminels. La campagne liée à Free Download Manager montre comme il est difficile de détecter une cyberattaque en cours sur un système Linux. Il est donc essentiel que les appareils basés sur Linux soient dotés de solutions de sécurité fiables et efficaces », déclare Georgy Kucherin, expert en sécurité chez GReAT, Kaspersky.
Pour se protéger des menaces ciblant les systèmes sous Linux, il convient de mettre en œuvre les mesures de sécurité suivantes :
-
Choisissez une solution de sécurité éprouvée pour les terminaux, qui est équipée de fonctions de surveillance du comportement et de contrôle des anomalies pour une protection efficace contre les menaces connues et inconnues.
-
Utilisez une solution multicouche qui offre une sécurité optimisée pour les systèmes, appareils et scénarios basés sur Linux, conformément aux normes réglementaires rigoureuses applicables à ces systèmes.
-
Les identifiants corrompus pouvant être mis en vente sur le dark web, surveillez les ressources présentes sur le web clandestin et identifiez rapidement les menaces associées.