Киберпреступники атаковали официальный сайт дистрибутива Xubuntu

Согласно данным, полученным из архивных копий сервиса archive.org, компрометация сайта произошла между 11 и 18 октября. На снимке от 11 октября страница загрузки ещё содержала корректные ссылки, тогда как к 18 октября все торрент-ссылки уже вели к вредоносному архиву. Разработчики Xubuntu оперативно отреагировали на инцидент: вредоносный файл был удалён, а доступ к разделу "/download/" заблокирован с перенаправлением на главную страницу сайта.

Анализ распространённого злоумышленниками архива показал, что он содержит исполняемый файл для платформы Windows, который маскируется под установщик Xubuntu. Проверка файла через сервис VirusTotal подтвердила его вредоносную природу. При запуске программа демонстрирует фиктивный интерфейс с возможностью выбора версии дистрибутива и типа пакета, а также кнопку "Generate Download Link". После нажатия на кнопку в системе создаётся файл "elzvcf.exe" в каталоге "AppData Roaming" и добавляется автозагрузка через реестр Windows.

По предварительным данным, вредоносное ПО относится к категории клипперов - программ, которые отслеживают данные в буфере обмена и подменяют адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников. Это позволяет киберпреступникам перехватывать криптовалютные переводы пользователей.

Важно отметить, что зеркала проекта, через которые распространяются ISO-образы дистрибутива, не пострадали. Предварительный анализ контрольных сумм подтвердил, что файлы на зеркалах соответствуют эталонным образам с cdimage.ubuntu.com. Следы компрометации обнаружены только на основном сайте xubuntu.org, который использует систему управления контентом WordPress.

Специалисты по кибербезопасности предполагают, что взлом мог быть осуществлён через уязвимость в необновлённом плагине WordPress. Это не первый инцидент безопасности на сайте Xubuntu: 10 сентября один из пользователей сообщал о появлении записи в блоге с рекламой казино, которая была оперативно удалена. Тогда инцидент не получил развития, так как считалось, что реклама могла быть подставлена вредоносным ПО на стороне пользователя.

В сообщении, отправленном в список рассылки разработчиков Xubuntu, Аарон Рейнболт обратил внимание на то, что текущая атака следует за предыдущим инцидентом, в ходе которого пользователям Windows предлагалось загрузить вредоносное "обновление браузера" через полноэкранное всплывающее окно. Он настоятельно рекомендовал полностью отключить сайт xubuntu.org до принятия мер по предотвращению повторных компрометаций.

Инцидент демонстрирует растущую тенденцию атак на инфраструктуру открытого программного обеспечения. Киберпреступники всё чаще выбирают в качестве мишеней официальные сайты популярных проектов, рассчитывая на высокий уровень доверия пользователей к таким ресурсам. Эксперты рекомендуют пользователям всегда проверять контрольные суммы загружаемых файлов и отдавать предпочтение официальным зеркалам вместо прямых загрузок с основных сайтов проектов.

На момент публикации материала разработчики Xubuntu не предоставили официальных комментариев относительно инцидента и предпринимаемых мер по расследованию и предотвращению подобных атак в будущем. Пользователям, которые могли загрузить подозрительный архив, рекомендуется провести полную проверку системы антивирусным программным обеспечением и сменить учётные данные для важных сервисов.

MD5

• 8a835ac22bc3a39fe2b6d5318bc43d99
• 98ade2e1c710dde70cd156d541515dcf
• fea8b143ab999b8aaae2f88f6de27ee0

SHA1

• 369af67dd79ba1c40221637d2e26f8846023f6a5
• a6623f76a98ec9310f832e10a1efd58bd05de560
• c20471488140cc5d05d3fddb3af6bda8bf23db32

SHA256

• 0b39a9e788f6ce7203810836ad583e7119dd3dbaa5f5f986750908179bd19692
• 0f59f553fcfac3cac07aa7986eac914be069a6dd407b2d9f761f11d3e865b4f6
• 94eb73a8539b5c5638854cfbb528cc41a40c009504255b6c11200097f0f02dbb
• a3d59d0212d7cbebf9dd377e7b6863f2c96fe62e8f0c1194a6ca93cb9672b994
• bfaf3af21644ce06fb295c78e080477d9095cb185fcf164ce9cf066a9682b9f1
• ec3a45882d8734fcff4a0b8654d702c6de8834b6532b821c083c1591a0217826