Kaspersky Labはこのほど、「Trojanized Free Download Manager found to contain a Linux backdoor|Securelist」において、Free Download Managerサイトが侵害され、3年間にわたりマルウェアを含んだLinux向けFree Download Managerのダウンロードに悪用されていたと報じた。
-
Trojanized Free Download Manager found to contain a Linux backdoor|Securelist
Kaspersky Labによると、fdmpkg[.]orgという怪しいドメインの調査を行った際に、Free Download Managerを配布する偽のdeb.fdmpkg[.]orgというサイトを発見したという。このサイトからダウンロードされたマルウェアを含んだFree Download Managerパッケージをインストールすると、/var/tmp/crondと/var/tmp/bsにバックドアを展開し、そのうち/var/tmp/crondを10分おきに起動するようcronの設定を行うとされる。
-
Free Download Managerの配布を装う偽サイト 引用:Kaspersky Lab
このバックドアはリバースシェルを展開し、脅威アクタからの指示を待つようになる。Kaspersky Labはこの先に起こることを観察するために、サンドボックス環境にインストールして分析を実施。その結果、攻撃者はBashスティーラを展開してシステム情報、閲覧履歴、パスワード、暗号通貨ウォレットファイル、クラウドサービスの認証情報などを窃取することがわかった。
次に、Kaspersky Labは、fdmpkg[.]orgへのアクセスがどのようにして発生したのかについても調査している。これにより、StackOverflowやRedditなどのコミュニティサイトにおいて、マルウェアを含んだFree Download Managerパッケージが原因と見られる投稿が2020年から2022年の3年間にわたって行われていることを発見したという。
調査を続行した結果、Free Download Managerの正規サイトからパッケージをダウンロードする際に、偽のサイトにリダイレクトされ、マルウェアを含んだFree Download Managerパッケージがダウンロードされる様子を記録したYouTube動画も発見。このことから正規サイトに侵害があったものと推定されている。
ただし、Kaspersky Labによると同時期の別の動画ではこのリダイレクトが発生していないものもあり、一定の確率、もしくは特定の条件下でのみリダイレクトが行われたと見られている。
この件について、Free Download Managerチームは公式のお知らせ「Important Security Announcement to Our Valued Users – Free Download Manager」を発表している。基本的な発表内容はKaspersky Labの指摘と同じだが、2022年以降に被害が止まった理由を「2022年の定期的なサイト更新中に知らず知らずのうちに解決された」としている。また、被害についてはLinux向けのFree Download Managerをダウンロードしようとした人のみが危険にさらされた可能性があるとして、訪問者の0.1%未満に影響があったとの見通しを示している。
Free Download Managerチームはユーザーへの推奨事項として、2020年から2022年の間にLinux向けFree Download Managerをダウンロードしようとしたユーザーは予防処置として、マルウェアのスキャンを実行し、パスワードを変更するよう強く推奨している。
また、Free Download Managerの連絡フォームに問題があったとして、連絡をしたが返信がなかった場合は再度連絡してほしいとしている。Free Download Managerチームは今後同様の被害を防止するために、防御を強化し追加の対策を行うとしている。
