Free Download Manager: Offizielle Webseite verbreitete 3 Jahre lang Linux-Malware
Sicherheitsforscher von Kaspersky haben festgestellt, dass über die offizielle Webseite des kostenlosen Download-Managers Free Download Manager (FDM) zwischen 2020 und 2022 eine Malware für Linux verbreitet wurde. Doch nicht jedes der heruntergeladenen Debian-Pakete war verseucht.
Umleitung auf fragwürdige Domain
Wie aus dem Bericht der Kaspersky-Forscher hervorgeht, leitete die Download-Seite des FDM bei dem Versuch, das Debian-Paket der Anwendung herunterzuladen, in einigen Fällen auf die bösartige Domain deb.fdmpkg[.]org um. Die legitime Version hingegen sei grundsätzlich unter files2.freedownloadmanager[.]org gehostet.
In Reaktion auf Anwenderkommentare im Blog des Download-Managers erklärte ein Nutzer namens blogadmin im Juni 2021, dass es zwischen der ersten Domain und dem Free Download Manager keinerlei Verbindung gebe und dass diese „unbekannt“ sei. Folglich ist anzunehmen, dass der Anbieter der Software selber Opfer eines Cyberangriffs war und ein böswilliger Dritter die Verbreitung der Malware eingefädelt hatte.
Unklar ist noch, nach welchen Kriterien die Weiterleitung auf deb.fdmpkg[.]org überhaupt erfolgte, da diese längst nicht bei allen Linux-Nutzern stattfand. Die Forscher vermuten diesbezüglich, dass ein Skript die Systeme der Webseitenbesucher per Zufall oder über eine Art digitalen Fingerabdruck ausgewählt hatte.
Free Download Manager mit Infostealer im Schlepptau
Statt des regulären Free Download Managers sollen betroffene Nutzer eine manipulierte Version der Anwendung erhalten haben, über die böswillige Akteure offenbar einen Infostealer verbreiteten – eine Malware, die sensible Daten von infizierten Systemen stiehlt und an einen vom Angreifer kontrollierten Server übermittelt. Im Falle der manipulierten FDM-Anwendung soll es sich dabei unter anderem um Browserverläufe sowie Zugangsdaten für namhafte Cloud-Dienste und Kryptowallets gehandelt haben.
Hinweise auf den Zeitraum, in dem die Malware verbreitet wurde, fanden die Forscher unter anderem auf Plattformen wie Reddit oder Stack Overflow. Auf Basis der dort geführten Diskussionen kamen sie zu dem Schluss, dass die fragwürdigen Weiterleitungen zwischen 2020 und 2022 und damit etwa drei Jahre lang stattgefunden haben müssen. Die Nutzer diskutierten unter anderem über Probleme beim Neustart oder beim Herunterfahren ihrer Linux-Systeme, nachdem sie den Free Download Manager installiert hatten. Dass die betroffenen Systeme mit einer Malware infiziert waren, habe jedoch den Sicherheitsforschern zufolge zu dieser Zeit noch niemand bemerkt.
Infektionen sind leicht erkennbar
Eine Infektion mit der genannten Malware lässt sich relativ leicht feststellen. Linux-Nutzer, die zwischen 2020 und 2022 den Free Download Manager über die Webseite des Anbieters heruntergeladen und installiert haben, sollten von dieser Möglichkeit Gebrauch machen. Die Schadsoftware ist an der Präsenz der folgenden Dateien erkennbar:
- /etc/cron.d/collect
- /var/tmp/crond
- /var/tmp/bs
- /var/tmp/atd
Diese Dateien zu löschen, ist aufgrund ihrer bösartigen Natur sicherlich ratsam. Ob sich die Malware damit bereits vollends unschädlich machen lässt oder ob sie möglicherweise noch weitere, bisher unbekannte Spuren im System hinterlässt, ist jedoch unklar.
Neben dem Debian-Paket steht der Free Download Manager ebenso für Windows, macOS und Android bereit. Ob es bei Downloads für die letzten drei Systeme ebenfalls zu Weiterleitungen auf die fragwürdige Domain kam, geht aus dem Bericht der Kaspersky-Forscher nicht klar hervor. Es ist jedoch anzunehmen, dass dies nicht der Fall war, da die Forscher sich sonst bei ihren Ausführungen wahrscheinlich nicht nur auf Linux fokussiert hätten.
Der Entwickler von Free Download Manager hat sich nach einer Reihe interner Untersuchungen in einem Blogbeitrag inzwischen selber zu dem Thema geäußert. Demnach sei es Hackern gelungen, auf der Webseite des Anbieters eine Schwachstelle in einem Skript auszunutzen, um dort eine bösartige Datei einzuschleusen.
Diese Datei habe auf der Download-Seite der Linux-Version des FDM schließlich einen Algorithmus bereitgestellt, der die Besucher entweder zur korrekten Download-URL oder zu der gefälschten Domain weitergeleitet habe, unter der die Malware gehostet war. Entschieden habe der Code der Angreifer dies anhand einer Ausnahmeliste, die IP-Adressen aus verschiedenen Subnetzen enthalten habe – darunter auch solche, die mit Bing und Google verbunden waren. In dieser Liste enthaltene IP-Adressen seien immer zum legitimen FDM-Download weitergeleitet worden.
„Wir bedauern diesen Vorfall sehr und bitten unsere Nutzer, die FDM für Linux in den Jahren 2020 – 2022 heruntergeladen haben, ihre Computer auf Malware zu überprüfen“, so der Anbieter in dem Blogbeitrag. Darüber hinaus betont der Entwickler, seine Webseite sei für Windows- und Mac-Nutzer stets sicher gewesen.
Untätigkeit kann man dem FDM-Entwickler gewiss nicht vorwerfen. Dieser hat in einem Update zu dem Blogbeitrag auf seiner Webseite inzwischen ein Bash-Skript bereitgestellt, mit dem Linux-Nutzer überprüfen können, ob ihr System mit der genannten Malware infiziert wurde. Automatisch bereinigt wird das geprüfte System dabei aber nicht. „Wenn Malware erkannt wird, wird dringend empfohlen, das System neu zu installieren“, warnt der Entwickler diesbezüglich.
Obendrein hat sich das Entwicklerteam hinter dem Free Download Manager offenbar selber unter dem Namen FDM_Team im ComputerBase-Forum registriert und dort auf die Bereitstellung des Skriptes hingewiesen.