O Linux é considerado um sistema operativo consideravelmente mais seguro que o Windows, mas ao mesmo tempo, não está imune a malware. E recentemente, investigadores da empresa de segurança Kaspersky revelaram a descoberta de uma campanha de malware, focada para utilizadores deste sistema.
A campanha começa quando os utilizadores tentam procurar pelo software Free Download Manager, um reconhecido software de gestão de downloads. Apesar da popularidade deste software ser maior no Windows, existem versões do mesmo adaptadas para Linux.
O próprio site oficial do software conta com o download para a versão de Linux. Mas é aqui que os problemas começam caso os utilizadores tentem descarregar o software pela fonte aparentemente legitima.
Ao que parece, o site oficial do Free Download Manager encontra-se a redirecionar aleatoriamente os utilizadores para um script malicioso. Quando o site identifica que os utilizadores estão num sistema Linux, de forma aleatória pode redirecionar o download do software para um domínio diferente, num pacote DEB, que contem o código malicioso.
Os investigadores da Kaspersky afirmam que o redireccionamento para o pacote malicioso não acontece todas as vezes que se realiza o download, possivelmente para evitar a deteção.
Na realidade, esta campanha pode estar ativa faz mais de três anos, sendo que os investigadores de segurança revelam terem verificado vários vídeos no YouTube onde o malware encontra-se a ser ativamente descarregado para sistemas Linux.
Se os utilizadores descarregarem o pacote DEB, além do programa que seria esperado, estão também a instalar no sistema um script que pode recolher dados sensíveis do mesmo, incluindo senhas guardadas no navegador e carteiras de criptomoedas.
Os dados são depois enviados pelo script para servidores em controlo dos atacantes, que podem usar os mesmos para os mais variados fins. O script instala-se cada vez que os utilizadores iniciem o sistema, através de tarefas agendadas no sistema.
Os investigadores afirmam que o malware pode ter sido instalado em sistemas que tenham descarregado o software para Linux entre 2020 e 2022 – embora existam indicações que mesma em datas mais recentes o malware pode ter continuado a ser distribuído pelo site.
Atualização (18/09/2023): A equipa responsável pelo site veio fornecer mais informações sobre o ocorrido.
De acordo com a equipa, terá ocorrido uma falha de comunicação, que levou a que os investigadores não pudessem contactar corretamente os responsáveis pela aplicação. De acordo com a mesma, apenas uma pequena percentagem de utilizadores terão sido afetados pela falha – menos de 0.1% dos visitantes do site.
A empresa afirma ainda que, o motivo para a falha ter passado despercebida tanto tempo terá sido exatamente pelo baixo impacto para os utilizadores. A falha aparenta ter sido corrigida com uma atualização de rotina no site em 2022.
A falha não se encontra atualmente ativa no site, mas os utilizadores de sistemas Linux são aconselhados a terem atenção aos conteúdos que descarregaram pelo site no período em que o mesmo esteve afetado. A equipa do FDM inclui no seu blog um script que avaliar se os sistemas Linux foram infetados com o malware.
Sex 15 Set 2023 - 14:31 por FDM_Team
