Внимание, Linux-пользователи: у вас может быть не тот Free Download Manager

«Лаборатория Касперского» обнаружила длительную вредоносную кампанию, которая использовала Free Download Manager для доставки бэкдора на устройства с ОС Linux. Жертвы заражались, когда скачивали программное обеспечение с официального сайта Free Download Manager, что свидетельствует о возможной атаке на цепочку поставок.

Free Download Manager — это легитимное ПО для установки приложений, которое позволяет загружать файлы из Интернета быстрее и удобнее. Однако злоумышленники использовали его как средство для доставки вредоносного ПО на системы Linux. Если пользователь открывал в браузере сайт Free Download Manager и нажимал кнопку загрузки программы для Linux, то в некоторых случаях его перенаправляло на вредоносный URL-адрес, с которого скачивалась заражённая версия ПО, выпущенная в 2020 году.

После запуска файла на компьютере или сервере жертвы устанавливался бэкдор — разновидность троянца, который давал злоумышленникам удалённый доступ к системе. С помощью бэкдора они могли красть различную информацию, в том числе данные о системе, историю браузера, сохранённые пароли, данные криптовалютных кошельков и даже учётные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.

Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России. Некоторые образцы вредоносного ПО, использованного в этой акции, были выявлены впервые в 2013 году.

Эксперты «Лаборатории Касперского» полагают, что это может быть атакой на цепочку поставок. Это означает, что злоумышленники взломали сайт Free Download Manager или его сервер и подменили легитимный файл программы на вредоносный.

В ходе исследования были обнаружены видео на YouTube, где создатели руководств по установке Free Download Manager для Linux невольно демонстрировали процесс заражения. Однако в других видео загружалась безопасная версия ПО. Вероятно, разработчики вредоносного ПО предусмотрели, что жертва перенаправлялась на вредоносную версию ПО с определённой степенью вероятности или на основе цифрового следа потенциальной жертвы. В результате некоторые пользователи сталкивались с вредоносным пакетом, а другие получали легитимный.