Sommige Linux-gebruikers zijn jarenlang het slachtoffer geweest van een supply chain-aanval, blijkt uit een Kaspersky-onderzoek. Met een fraudulente Debian-repository werd men om de tuin geleid, waarna een stukje malware gedownload werd en informatie stal. Volgens Kaspersky is Linux onderbelicht als het gaat om cybersecurity.
De malware-campagne bleek al drie jaar in de lucht te zijn. Free Download Manager functioneerde voor de meeste gebruikers zoals gewenst, waarbij men onder meer een nieuwe Linux-versie kon downloaden. Echter verwees de downloadpagina in kwestie soms naar een kwaadaardig domein met een fraudulente Debian-variant.
Nietsvermoedend
De campagne bleef lang onopgemerkt, terwijl gebruikers op Reddit, StackOverflow en YouTube de link als een legitieme bron deelden. Meldingen van geïnfecteerde gebruikers waren niet genoeg om het gedrag van de Free Download Manager-link te onderzoeken, omdat deze normaal gesproken niet naar een verdachte site verwees.
Wie de malafide variant ontving, kreeg te maken met een Bash-script die informatie stal van het systeem, inclusief backdoor om de data te extraheren. Onder meer browsergeschiedenis en -wachtwoorden, informatie over cryptomunten en inloggegevens voor prominente clouddiensten konden opgepikt worden. Het ging om een variant van de “Bew”-malware die al sinds 2019 bekend is bij security-experts.
Dergelijke informatie wordt veelal verhandeld op de dark web. Eerder was Genesis Market een zeer actief platform voor het verkopen van privégegevens om slachtoffers er later mee aan te vallen, hoewel deze eerder dit jaar werd opgedoekt.
Tip: Genesis Market: hoe werkte deze criminele marktplaats en hoe werd hij opgerold?
Wie tussen 2020 en 2022 mogelijk de downloadlink heeft gebruikt, kan controleren of de malafide bestanden nog aanwezig zijn op het systeem. Het gaat hierbij om:
-/etc/cron.d/collect
-/var/tmp/crond
-/var/tmp/bs
22 uur geleden
