Detectaron un backdoor en el paquete deb de Free Download Manager

Darkcrizt

3 minutos

Hack

El reciente compromiso de la informacion a alarmado a los usuarios

Hace pocos días los investigadores de Kaspersky Lab, dieron a conocer la noticia de que detectaron un backdoor en el paquete deb del administrador de descargas Free Download Manager (FDM), el cual era distribuido a través del repositorio deb.fdmpkg.org, al que se vinculó en el sitio web oficial del proyecto.

Se menciona que el paquete malicioso fue colocado en la página web específica del sitio, el cual fue comprometida por un grupo de hackers ucranianos, aprovechándola para distribuir software malicioso, afectado a usuarios que descargaron el paquete deb entre 2020 y 2022, los cuales estuvieron potencialmente expuestos.

Sobre el paquete malicioso, se publicó una versión de FDM en enero de 2020 con una inserción maliciosa y se distribuyó a través del sitio web oficial del proyecto (freedownloadmanager.org) al menos hasta que el sitio se actualizó en 2022.

Se menciona que este enviaba información y credenciales confidenciales y era llamado a través de un controlador iniciado por el administrador de paquetes en la etapa posterior a la instalación del paquete.  Dicha información se basa en datos preliminares, ya que en 2020 el sitio web del proyecto fue hackeado y los atacantes cambiaron el contenido de la página con un enlace de descarga.

En 2022, la vulnerabilidad se solucionó sin saberlo después de una actualización del sitio. Los desarrolladores de FDM creen que el problema pasó desapercibido durante mucho tiempo, ya que afectaba a mucho menos del 0,1% de los visitantes del sitio. Se supone que el enlace al paquete malicioso no se proporcionó a todos los usuarios, sino solo de forma selectiva en relación con los parámetros/ubicación del navegador o en orden aleatorio (las copias de la página de descarga para 2020 y 2021 guardadas por el servicio archive.org contienen un enlace legítimo).

Sobre la forma en la que actuaba el código malicioso integrado en el paquete deb, es que este despues de ser instalado descargaba unos archivos ejecutables de hosts externos y luego configuraba crontab para llamar a uno de los archivos descargados cada 10 minutos.

Dentro de las funciones del código malicioso, se menciona que una vez activo buscaba y acumulaba información sobre el sistema, el historial del navegador, archivos con carteras de criptomonedas y credenciales para conectarse a los servicios en la nube AWS, Google Cloud, Oracle Cloud Infrastructure y Azure.

El código malicioso se encontró después de estudiar el ataque, que involucraba hosts sospechosos *.u.fdmpkg.org. El examen del dominio fdmpkg.org mostró que tiene un subdominio deb.fdmpkg.org, que sirve como repositorio de paquetes deb, que aloja un paquete malicioso con una versión antigua de Free Download Manager.

Después de analizar las menciones de deb.fdmpkg.org en fuentes abiertas, los investigadores encontraron varias discusiones en StackOverflow y Reddit sobre problemas que surgieron debido al uso de una versión infectada de Free Download Manager. La conexión con el sitio web oficial se descubrió luego de que se encontrara en YouTube un video con instrucciones para instalar Free Download Manager, que mostraba la descarga del paquete desde el repositorio al hacer clic en el enlace “Descargar” en la página oficial del proyecto.

Sobre el caso, los desarrolladores de Free Download Manager informaron que habían iniciado una investigación y anunciaron que estaban tomando medidas para fortalecer la protección de la infraestructura que evitarían incidentes similares en el futuro.

Querida comunidad,

Deseamos abordar una importante preocupación de seguridad que recientemente ha llamado nuestra atención. Mantener su confianza es primordial para nosotros y, en nuestra dedicación a la transparencia, nuestro objetivo es brindar una explicación clara y directa de la situación…

Recomendaciones para los usuarios: si se encontraba entre el subconjunto de usuarios que intentaron descargar FDM para Linux desde nuestra página comprometida durante el período mencionado, le recomendamos encarecidamente realizar un análisis de malware en su sistema y actualizar sus contraseñas como medida de precaución.

Problemas de comunicación: También descubrimos un problema con uno de nuestros formularios de contacto que podría haber impedido una comunicación rápida; presumiblemente fue el formulario utilizado por los representantes de Kaspersky Lab para comunicarse con nosotros. Si intentó comunicarse con respecto a este o cualquier problema relacionado sin recibir comentarios, contáctenos nuevamente en support@freedownloadmanager.org.

Nos disculpamos sinceramente por cualquier inconveniente o preocupación que esto pueda causar. Garantizar su seguridad digital sigue siendo una prioridad en nuestros esfuerzos y somos inquebrantables en nuestro compromiso de salvaguardar su confianza.

Ademas de que recomiendan a los usuarios que instalaron versiones Linux de FDM de 2020 a 2022 que escaneen sus sistemas en busca de malware y cambien las contraseñas que utilizan.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.