Free Download Manager: Offizielle Webseite hat 3 Jahre Linux-Malware ausgeliefert
Sicherheitsforscher von Kaspersky haben festgestellt, dass die offizielle Webseite des weitverbreiteten Free Download Manager (FDM) Nutzer, die versucht haben, die Software für Linux herunterzuladen, in einigen Fällen auf eine bösartige Domain umgeleitet hat. Darüber soll statt der legitimen Anwendung eine manipulierte FDM-Version ausgeliefert worden sein, mit der böswillige Akteure eine Infostealer-Malware verbreiteten, um unter anderem Browserverläufe und Zugangsdaten für Kryptowallets und verschiedene Cloud-Dienste zu stehlen.
Wie die Forscher in ihrem Bericht(öffnet im neuen Fenster) erklären, fanden sie durch Diskussionen auf Plattformen wie Stackoverflow und Reddit Hinweise darauf, dass die Verbreitung der Schadsoftware rund drei Jahre lang erfolgte – zwischen 2020 und 2022. In den Beiträgen sollen zwar Probleme und mögliche Lösungen im Zusammenhang mit dem Free Download Manager unter Linux diskutiert worden sein(öffnet im neuen Fenster) , jedoch habe keiner der Nutzer bemerkt, dass die betroffenen Systeme mit einer Malware infiziert waren, schreiben die Forscher.
Dabei soll nicht jeder Download für die Linux-Variante (Debian) des Download-Managers mit der Malware verbunden gewesen sein, wenngleich noch unklar ist, anhand welcher Kriterien die böswillige Weiterleitung erfolgte. Die Kaspersky-Forscher gehen davon aus, dass ein Skript die Zielrechner per Zufall oder über eine Art digitalen Fingerabdruck selektiert hat.
Bei der bösartigen Domain handelte es sich demnach um "deb.fdmpkg[.]org" , wohingegen die Installationsdatei der legitimen Version des Free Download Managers unter "files2.freedownloadmanager[.]org" gehostet ist. Auch auf der Webseite der Anwendung selbst soll ein Nutzer namens blogadmin bestätigt(öffnet im neuen Fenster) haben, dass die erste Domain in keinem Zusammenhang mit dem FDM-Projekt steht.
Eine Infektion lässt sich leicht erkennen
Wer zwischen 2020 und 2022 den Free Download Manager als Debian-Paket heruntergeladen und auf einem Linux-System installiert hat, kann eine mögliche Infektion feststellen. Die Malware scheint mit den folgenden Dateien verbunden zu sein:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
- /var/tmp/atd
Es ist durchaus empfehlenswert, diese Dateien zu löschen, wenngleich noch unklar ist, ob sich die Malware damit tatsächlich vollends unschädlich machen lässt oder ob sie noch andere, bisher unentdeckte Spuren hinterlässt. Nutzer der Windows- oder MacOS-Version von Free Download Manager scheinen grundsätzlich nicht betroffen zu sein.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.