Il va sans dire à ce stade que lorsqu’il s’agit de télécharger tout type de logiciels en ligne, la meilleure chose à faire est de le faire depuis les sites officiels. Qu'il s'agisse d'un système d'exploitation, comme la distribution Linux dont nous allons parler maintenant, comme tout autre programme, il est toujours conseillé d'utiliser la page de son développeur.
Cependant, nous devons également prendre en considération le fait que ces sites Web officiels que nous utilisons habituellement dans ces cas présentent également des vulnérabilités. Le problème dans tout cela est que des acteurs malveillants en profitent de temps en temps, comme c'est le cas actuellement dans le cas de l'un des distributions Linux les plus populaires. Concrètement, nous vous racontons tout cela car, comme nous le savons désormais, le site Internet du Distribution Xubuntu vient d'être victime de hackers.
Fondamentalement, les attaquants ont remplacé les liens de téléchargement du système d'exploitation lui-même par un lien malveillant. Pour ceux qui ne le savent pas, il est important de garder à l’esprit que Xubuntu est l’une des versions officielles d’Ubuntu. Cela signifie qu'il pourrait être considéré comme un dérivé de la populaire distribution Linux. Son nom vient de la combinaison de termes Xfce et Ubuntu.
Eh bien, une fois que nous savons cela, après l'attaque, les attaquants ont remplacé les liens de téléchargement sur Xubuntu.org par un lien malveillant. Tout cela signifie qu'au lieu de télécharger un fichier .torrent, ceux qui voulaient obtenir une copie du système ont téléchargé un fichier ZIP contenant le fichier malveillant.
Bien sûr, il faut savoir que malgré ce que l’on pourrait penser au premier abord, il ne s’agit pas d’un malware pour Linux, mais pour Windows.
Comment fonctionnent les logiciels malveillants lors du téléchargement de Xubuntu
En réalité, le malware semble se faire passer pour un téléchargeur basé sur une interface graphique pour Ubuntu. En parallèle, il exécute certaines commandes en arrière-plan sous Windows afin de délivrer la charge utile. Même des services en ligne tels que VirusTotal ont détecté le fichier comme malveillant, marqué par 26 des 72 sociétés de sécurité.
Plus précisément, il s’agit d’un malware de type Cryto Clipper, qui est essentiellement responsable du détournement du presse-papiers et de l’attaque des crypto-monnaies. Le malware en question remplace les adresses des portefeuilles de crypto-monnaie dans le presse-papiers avec ceux des attaquants.
Une fois que nous saurons tout cela, nous vous dirons qu'apparemment seul le site Xubuntu a été compromis par cette campagne malveillante. C'est pourquoi nous devrions vérifier les téléchargements si nous avons téléchargé la distribution récemment.
De plus, comme nous l'informent les développeurs qui font partie de l'équipe Xubuntu, il semble qu'il y ait eu une erreur dans leur environnement d'hébergement. Par conséquent, pour résoudre cette situation désagréable, ils ont temporairement désactivé la page de téléchargement pour atténuer le problème. Ce que nous ne savons pas, c'est comment les pirates ont réussi à compromettre le serveurpuisqu'ils ont peu ou rien clarifié à cet égard. On ne sait pas non plus combien de personnes ont été touchées par cette faille de sécurité.
| Indicateur | Valeur | Source/Référence |
|---|---|---|
| Nom de la menace | Cheval de Troie.Clipper.Win32/FakeDownloader | ESET, Kaspersky |
| Hachage (SHA-256) | [Introducir aquí el hash SHA-256 real si se encuentra] | Analyse de virusTotal |
| Taux de détection | 26/72 moteurs (au moment de l'analyse) | Rapport de virusTotal |
| Vecteur d'infection | Téléchargez depuis le site officiel compromis de Xubuntu.org | Sortie de Xubuntu |
| Crypto-monnaies concernées | Bitcoin (BTC), Ethereum (ETH), USDT | Analyse du comportement |
Aujourd'hui, nous pouvons confirmer que Xubuntu semble avoir restauré la version précédente de sa page de téléchargement. Ici, nous voyons Xubuntu 24 avril 2024au lieu de Xubuntu 25.10. De plus, le bouton de téléchargement ne semble pas fonctionner, on peut donc en déduire qu'ils tentent actuellement de réparer les dégâts de l'attaque.
En fait, l'équipe de développement de Xubuntu a déjà confirmé l'incident. Dans une déclaration officielle, vous nous dites qu'ils ont identifié un accès non autorisé à leur serveur Web, ce qui a permis la modification des liens de téléchargement. De même, ils nous disent que la page a été temporairement désactivée pour résoudre le problème.