{"id":317192,"date":"2025-10-19T12:42:04","date_gmt":"2025-10-19T10:42:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=317192"},"modified":"2025-10-19T21:28:46","modified_gmt":"2025-10-19T19:28:46","slug":"achtung-xubuntu-webseite-verteilte-malware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/19\/achtung-xubuntu-webseite-verteilte-malware\/","title":{"rendered":"Achtung: Xubuntu-Webseite verteilte seit Okt. 2025 Malware"},"content":{"rendered":"

Noch eine kurze Warnung f\u00fcr Linux-Interessenten, die sich f\u00fcr Xubuntu interessieren. Es gibt Berichte, dass die betreffende Xubuntu-Webseite Malware verteilen k\u00f6nnte. Inzwischen ist die Download-Seite deaktiviert.\u00a0Also Vorsicht walten lassen und heruntergeladenes m\u00f6glichst nicht verwenden, bis das gekl\u00e4rt ist.<\/p>\n


\nDiskussion auf reddit.com und X<\/h2>\n

\"\"Mir ist das Thema auf zwei Ebenen untergekommen. Einmal ist mir der folgende Tweet<\/a> mit einer Warnung untergekommen.<\/p>\n

\"Xubuntu<\/a><\/p>\n

Er verwies auf diesen reddit.com-Thread<\/a> von gestern. Dort schreibt jemand, dass Torrent-Downloads unter https: \/\/ xubuntu[.]org\/download\/ eine ZIP-Datei mit einer verd\u00e4chtigen EXE-Datei und einer tos.txt-Datei im Inneren liefern. Die Nutzungsbedingungen beginnen mit\u00a0 \"Copyright (c) 2026 Xubuntu.org<\/em>\", was verd\u00e4chtig ist, da wir immer noch das Jahr 2025 haben.<\/p>\n

Der reddit.com-Poster hat die EXE-Datei mit File-Roller ge\u00f6ffnet und konnte darin keine .torrent-Datei finden. Ist recht obskur. Die Kompromittierung muss nach dem 11. Oktober 2025 passiert sein, wenn ich die Diskussion richtig interpretiere. vxunderground liefert in seinem Tweet noch eine Analyse der Nutzlast.<\/p>\n

Krude Nutzlast<\/h3>\n

Erg\u00e4nzung:<\/strong> Etwas krude ist die Geschichte aber schon. Es hei\u00dft, dass die ausgelieferte Malware \/\u00a0 Nutzlast ein Krypto-Clipper sei, der sich in AppData<\/em> installiert und erst aktiviert wird, wenn Nutzer auf die Schaltfl\u00e4che Download-Link generieren<\/em>\u00a0klicken.<\/p>\n

Das ist aber alles Windows-Zeugs, d.h. eine .exe-Datei, die sich in AppData<\/em> installiert. Jemand schrieb dazu:<\/p>\n

Das scheint mir ein sehr plumper Kompromiss zu sein. Wie viele Leute, die einen Torrent-Link erwarten, werden das hier herunterladen, sehen, dass es sich um eine ZIP-Datei handelt, sie entpacken, darin eine beliebige Windows-Ausf\u00fchrungsdatei finden und diese dann ausf\u00fchren?<\/p>\n

Man h\u00e4tte sich wenigstens etwas M\u00fche geben und auf der Webseite eine Beschreibung wie \"Torrent-Link-Auswahl f\u00fcr Windows-Benutzer\" hinzuf\u00fcgen k\u00f6nnen (das scheint es zumindest zu sein, wenn man nach den in der Ausf\u00fchrungsdatei eingebetteten Zeichenfolgen geht).<\/p><\/blockquote>\n

Dem ist wenig hinzuzuf\u00fcgen.<\/p>\n

Download deaktiviert<\/h3>\n

Erg\u00e4nzung:<\/strong> Gegen 18:00 Uhr deutscher Zeit schrieb jemand: \"Wir sind f\u00fcr Upgrades auf unsere Hosting-Umgebung angewiesen, und es scheint, als h\u00e4tte es hier einen kleinen Fehler gegeben. Wir arbeiten daran, aber vorerst ist die Download-Seite deaktiviert.\"<\/p>\n

Ein Leserhinweis<\/h2>\n

Zudem hat sich ein Leser gemeldet und schrieb in einer E-Mail: \"Vielleicht ist das eine Warnmeldung wert?\" und verwies auf den Artikel\u00a0Xubuntu-Webseite verteilte Malware<\/a> von Linux News. Dort hei\u00dft es, dass die Webseite xubuntu.org<\/em> wohl seit\u00a0Mitte Oktober\u202f2025\u00a0 kompromittiert zu sein scheint. Nutzer h\u00e4tten fremdsprachige Blogeintr\u00e4ge und ein manipuliertes Impressum mit der Jahreszahl \u202fCopyright\u202f (c) \u202f2026\u202f Xubuntu.org<\/em> bemerkt.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Noch eine kurze Warnung f\u00fcr Linux-Interessenten, die sich f\u00fcr Xubuntu interessieren. Es gibt Berichte, dass die betreffende Xubuntu-Webseite Malware verteilen k\u00f6nnte. Inzwischen ist die Download-Seite deaktiviert.\u00a0Also Vorsicht walten lassen und heruntergeladenes m\u00f6glichst nicht verwenden, bis das gekl\u00e4rt ist.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426],"tags":[4305,4328],"class_list":["post-317192","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","tag-linux","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=317192"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317192\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=317192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=317192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=317192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}