Дата публикации:Sun, 19 Oct 2025 20:13:53 +0300
Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл "https://xubuntu.org/wp-content/Xubuntu- ... wnload.zip". В итоге на странице загрузки остались только ссылки на вредоносный архив и доступные зеркала. Разработчики Xubuntu пока не прокомментировали ситуацию, но несколько часов назад удалили вредоносный архив и заблокировали доступ к разделу "xubuntu.org/download/", организовав перенаправление на главную страницу сайта.
Сервисом archive.org копии xubuntu.org были сделаны 11 и 18 октября - 11 октября страница ещё не была изменена, а 18 октября на странице уже имеется вредоносное изменение. Зеркала проекта, через которые распространяются iso-образы, судя по первичному анализу контрольных сумм, не пострадали. Следы компрометации пока замечены только на сайте xubuntu.org, использующем систему управления контентом WordPress.
Распространяемый злоумышленниками архив "Xubuntu-Safe-Download.zip" содержит исполняемый файл для платформы Windows, который преподносится как инсталлятор Xubuntu. Проверка указанного файла в сервисе VirusTotal показывает наличие вредоносного ПО.
При запуске исполняемого файла показывается фиктивный интерфейс, включающий поля для выбора версии дистрибутива для загрузки и типа пакета, а также кнопку "Generate Download Link". При нажатии на кнопку в каталог "AppData Roaming" сохраняется файл "elzvcf.exe" и в реестре Windows настраивается его выполнение при запуске системы. По предварительной информации вредоносное ПО анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников.

Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=64079