Нещодавно з'явилася новина про те, що Офіційний вебсайт Xubuntu було скомпрометовано через серйозне порушення безпеки, яке вплинуло на розповсюдження після Невідомим зловмисникам вдалося зламати сторінку завантаження та замінити легітимні посилання шкідливим файлом під назвою «Xubuntu-Safe-Download.zip». Цей файл, який виглядав як офіційний інсталятор, насправді містив трояна для Windows, призначеного для крадіжки криптовалюти.
Перше попередження надійшло від Користувач Reddit, який помітив підозрілу поведінку під час спроби завантажити Xubuntu з офіційного сайту. Замість торренту або ISO-образу було завантажено файл «Xubuntu-Safe-Download.zip», який містив виконуваний файл Windows.
El аналіз у VirusTotal підтвердив це Файл був трояном, який імітував інсталятор. автентичний і навіть містить підроблений документ з умовами надання послуг щоб зміцнити свою легітимність. Його Його справжньою функцією було діяти як крипто-кліпер., перехоплюючи адреси криптовалютних гаманців, скопійовані в буфер обміну, та замінюючи їх адресами зловмисників.
Зверніть увагу, що Xubuntu.org було зламано, і його кнопка завантаження намагається завантажити "Xubuntu-Safe-Download.zip", який, схоже, містить підроблені умови використання та EXE-файл, а Virustotal підтверджує, що він містить шкідливе програмне забезпечення (трояна). Схоже, хтось намагається зацікавити новачків Windows, яких може зацікавити Linux (тим більше зараз, коли наближається кінець підтримки Win10).
Я сподіваюся, що команда проекту Xubuntu та Ubuntu/Canonical зможуть швидко відреагувати, але, за словами тих, хто першим помітив це, схоже, що воно було активним протягом шести годин. Той факт, що ця вразливість була активною протягом шести годин, не повинен бути проблемою.
Згідно з повідомленнями, Шкідливе перенаправлення залишалося активним приблизно шість годин перш ніж команда Xubuntu видалила скомпрометоване посилання. Наразі сторінка завантаження вимкнена та перенаправляє на головну сторінку сайту, що підтверджує спроби команди зменшити шкоду.
Шкідливе програмне забезпечення вразило лише користувачів Windows
Хоча інцидент викликав велике занепокоєння у спільноті Linux, все вказує на те, що Атака була спеціально спрямована на користувачів WindowsШкідливий виконуваний файл було встановлено в папку AppData/Roaming (шлях, унікальний для цієї операційної системи). Файл, також ідентифікований як «TestCompany.SafeDownloader.exe», був позначений як шкідливий 26 з 72 постачальників засобів безпеки на VirusTotal.
Згідно з аналізом, Це шкідливе програмне забезпечення не є майнером, а кліпером. який змінює вміст буфера обміну, перенаправляючи криптовалютні транзакції на адреси, контрольовані зловмисниками. Його дизайн передбачає, що намагалися обдурити недосвідчених користувачів які переходили з Windows на Linux і могли не помічати різниці між легітимними методами завантаження.
Вразливість WordPress та можливе попереднє вторгнення
Все вказує на це Атака виникла через вразливість у WordPress з сайту xubuntu.org, можливо через застарілий плагін. Журнали Archive.org показують, що сторінку було змінено між 11 та 18 жовтня, періодом, протягом якого було додано шкідливе посилання.
Дякуємо всім. Ми покладаємося на оновлення нашого хостингового середовища, і, схоже, стався незначний збій. Ми працюємо над цим, але сторінка завантажень наразі не працює.
Ми переходимо до статичного середовища, що має усунути такі проблеми, але наша команда досить невелика та дуже зайнята…
Крім того, У вересні вже повідомлялося про аномальну поведінку.або на сайті, коли користувач помітив допис у блозі з рекламою казино. Хоча його було швидко видалено, ретельного розслідування не було проведено, що, схоже, стало ранньою ознакою компрометації.
Варто зазначити, що інцидент з Xubuntu не є поодиноким випадком. В останні місяці спільнота розробників відкритого коду зіткнулася з численними атаками: репозиторій AUR Arch Linux постраждав від проникнення трояна RAT, інфраструктура Fedora та Arch стала мішенню DDoS-атак, а також було скомпрометовано екземпляр Red Hat GitLab.