Ícone do site Café Codificado

O site do Xubuntu foi hackeado para espalhar um malware, corrigido agora

Cafe Codificado
Malware Xubuntu

O site do Xubuntu foi o último a ser vítima de hackers. Os invasores substituíram os links de download por outros maliciosos.

Para quem não sabe, o Xubuntu é um dos sabores oficiais do Ubuntu, ou seja, um fork/derivado da distro. O nome é uma mala de viagem do Xfce e Ubuntu.

De qualquer forma, pelo que posso dizer relatórios de usuários, os invasores substituíram os links de download no Xubuntu.org por um malicioso. Então, em vez de baixar um arquivo .torrent, ele baixou um arquivo ZIP que continha o arquivo malicioso.

Aqui está uma captura de tela da aparência do malware.

(Imagem cortesia usuário reddit Buty935)

Observe que diz Target Windows Version? Isso, combinado com o EXE no nome, parece sugerir que eles tinham como alvo os usuários do Windows. Talvez usuários que estão abandonando o Windows 10, mas não estavam familiarizados com Linux ou torrents? Apesar do que os usuários possam pensar, não é um malware para Linux. Ele se instalou no appdata, que só existe no Windows. O malware parece estar se passando por um downloader baseado em GUI para Ubuntu. Ele executa furtivamente alguns prompts de comando em segundo plano para entregar a carga útil.

Malware Subburntu

Aqui está o Link VirusTotal para o malware. O arquivo foi denominado “TestCompany.SafeDownloader.exe”. Ele é sinalizado 26/72 por fornecedores de segurança como malicioso. Os usuários que inspecionaram o malware dizem que é um Cryto Clipper. Não é um minerador de criptografia, é essencialmente um malware que sequestra a área de transferência e tem como alvo criptomoedas.

De acordo com um usuário do Notícias sobre hackerso malware substitui os endereços da carteira criptografada na área de transferência por endereços pertencentes aos invasores.

Malware Xubuntu tem como alvo carteira criptografada

Parece que apenas o site do Xubuntu foi comprometido, alguns usuários dizem que os próprios torrents e lançamentos/espelhos não parecem ter sido afetados pelo problema. No entanto, você provavelmente deve verificar seus downloads usando as somas de verificação fornecidas pelos desenvolvedores.

Um comentário da equipe do Xubuntu diz que houve algum tipo de erro no ambiente de hospedagem e que desativaram a página de downloads para mitigar o problema. Essa é uma afirmação vaga, parece um tanto irresponsável e desconsidera a situação. Como os hackers conseguiram comprometer o servidor permanece um mistério. Também não está claro quantas pessoas foram afetadas por esta falha de segurança.

O Xubuntu parece ter restaurado uma versão mais antiga de sua página de download, porque mostra o Xubuntu 24.04 de abril de 2024, em vez do Xubuntu 25.10 baseado no Ubuntu 25.10 Questing Quokka e artigos de blog de 2021. E o botão de download também parece não funcionar. Eles provavelmente estão no modo de controle de danos. UM postar no reddit de 10 de setembro diz que o site do Xubuntu sofreu um hack há um mês, mas isso afetou os artigos do blog,

Esta não é a primeira vez que o site de uma distribuição Linux foi hackeado para veicular malware. Na verdade, houve algumas violações nos últimos meses. O Arch User Repository (AUR) do Arch Linux foi alvo de um Trojan Chaos Remote Acess (RAT) em julho. Houve um Ataque DDos direcionado aos serviços fedoraproject.org em agosto e um A instância do Red Hat GitLab foi hackeada algumas semanas atrás.

Obrigado por ser um leitor Ghacks. O post O site do Xubuntu foi hackeado para espalhar um malware, corrigido agora apareceu pela primeira vez em ghacks Technology News.

Sair da versão mobile