Um utilizadordo Ubuntu, apelidado no GitHub como “Tarwirdur” descobriu um malware alojado no código-fonte de um pacote de snap do Ubuntu, e disponível no Ubuntu Snap Store oficial. Depois de uma primeira análise ele constatou que o código malicioso diz respeito a um minerador de criptomoedas.
O código malicioso é capaz de minerar a criptomoeda Bytecoin (BCN), e a conta codificada no malware é “[email protected]”.
A aplicação maliciosas chama-se 2048buntu, é um copycat do jogo 2024 incluído como um snap Ubuntu.
Tarwirdur descobriu que a aplicação tinha associado um malware de mineração de criptomoedas designado como “systemd”. Este pacto também incluía um script de inicialização persistente e que poderia forçar a sua execução no computador da vítima.
Tarwirdur endereçou a descoberta para os responsáveis do Ubuntu Snap Store que prontamente removeram a app. O utilizador também notou outra app carregada pelo mesmo autor também estava vulnerável com o mesmo trecho de código malicioso e essa app foi também ela removida.
“At least two of the snap packages, 2048buntu and Hextris, uploaded to the Ubuntu Snaps Store by user Nicolas Tomb, contained malware. All packages by Nicolas have since been removed from the Ubuntu Snaps Store, “pending further investigations“.” states a post published on the website linuxuprising.com.
Atualmente é impossível identificar o número de utilizadores afetados porque o Ubuntu Snap Store não contém um contador de instalações.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.