Plumpe Weiterleitung
Erst jetzt wurden Sicherheitsforscher von Kaspersky auf das Problem aufmerksam. Demnach versteckte sich die Malware im Free Download Manager, einem vor allem unter Linux-Nutzern häufiger genutzten Werkzeug. Dieses wurde über die Webseite freedownloadmanager.org zum Download angeboten. Allerdings leitete ein Link zum Download hier bereits seit dem Jahr 2020 auf die Domain deb.fdmpkg.org weiter, was den Betreibern und auch den Nutzern allerdings nicht auffiel. Auf dieser Seite wiederum wurde eine manipulierte Fassung der Software angeboten, die bei der Installation auch Backdoor-Skripte auf dem betroffenen System einrichtete. Dieses trat mit einer externen IP-Adresse in Kontakt und richtete alles ein, um einen Fernzugriff auf das infizierte System zu ermöglichen.Hauptsächlich beschäftigte sich die Malware, die auf einem älteren Schadcode namens Bew beruhte, allerdings damit, verschiedene sensible Informationen im Hintergrund zu sammeln. Das reichte vom Browser-Verlauf über System-Informationen bis hin zu Passwörtern und Kryptowährungs-Wallets. Diese Daten wurden dann in einem passenden Moment auf eine Zieladresse der Malware-Betreiber hochgeladen.
Mysteriöses Ende
Das Interessante an dem Fall ist weniger der Schadcode selbst, als seine Verbreitung. Denn wie weitergehende Analysen zeigten, erhielten keinesfalls alle Nutzer den Link zu der manipulierten Software. Ein Teil der Nutzer wurde auch zum Download-Bereich des echten Anbieters geleitet - ob dahinter irgendeine Struktur steckte oder es schlicht nach Zufall ging, ist unklar.Ebenso rätselhaft ist die inzwischen erfolgte Einstellung oder Pausierung der Verbreitung. Die Umleitungen endeten bereits im letzten Jahr und damit vor der Entdeckung des Problems, über die Gründe lässt sich letztlich nur spekulieren. Die Angelegenheit zeigt allerdings, dass Malware noch immer lange unentdeckt operieren kann - selbst wenn viele Nutzer auf eigenartige Domains umgeleitet werden und sie auf Rechnern eingesetzt wird, von denen man annimmt, dass sie unter genauerer Beobachtung ihrer User stehen - was bei Linux oftmals angenommen wird.
Zusammenfassung
- Malware zum Stehlen von Passwörtern operierte jahrelang unentdeckt
- Schadcode wurde über Freeware-Tool "Free Download Manager" verbreitet
- Manipulierte Software richtete Backdoor-Skripte für Fernzugriff ein
- Malware sammelte sensible Informationen wie Passwörter und Kryptowährungs-Wallets
- Nicht alle Nutzer erhielten Link zur manipulierten Software
- Verbreitung der Malware wurde vor Entdeckung des Problems eingestellt
- Fall zeigt, dass Malware lange unentdeckt bleiben kann, auch auf Linux-Systemen
Vorsicht: MalDoc-Schadcode umgeht Windows Malware-Erkennung
Malware in App-Stores: Signal und Telegram im Visier von Hackern
AVrecon: Malware infiziert unentdeckt Router & baut Botnetz auf