Del malware è stato trovato su AUR (Arch Linux Repository). Il malware è stato caricato nella giornata di sabato 7 luglio 2018 ma, fortunatamente, la minaccia è stata subito neutralizzata dal team che gestisce AUR.
I fatti
Su AUR ci sono diversi repository che non vengono più mantenuti aggiornati da parte dei loro manutentori. Questi repository possono essere rilevati da altri utenti per essere nuovamente aggiornati.
L'utente che utilizzava il nicknamen xeactor ha rilevato uno di questi repository e precisamente quello relativo a acroread. Una volta rilevato ha provveduto a modificarlo e ad aggiungergli del codice malevolo (che potete visualizzare sul commit Git).
Il meccanismo di azione del malware
Il malware caricato scaricava sul computer della vittima un primo file chiamato ~x (qui trovate il codice sorgente mentre qui la scansione con VirusTotal) che a sua volta andava a scaricare un altro file chiamato ~u (qui trovate il codice sorgente mentre qui la scansione con VirusTotal). Il file ~x, oltre a scaricare il file ~u, andava e a modificare systemd aggiungendogli un timer che consentiva l'esecuzione di ~u ogni 360 secondi.
Cosa faceva il malware?
Il file ~u raccoglieva alcuni dati dai sistemi infetti (la data, l'ora, l'ID della macchina, informazionu sulla CPU, dettagli di Pacman e l'output dei comandi "uname -a" e "systemctl list-units") e li copiava all'interno di un nuovo file su Pastebin utilizznado la chiave API Pastebin personalizzata dell'utente che ha creato il malware.
Non sono segnalate altre operazioni dannose in questa fase. Molto probabilmente stava soltanto raccogliendo dati per un successivo attacco o aggiornamento del pacchetto per distribuire altro codice malevolo.
Non solo quel pacchetto
Lo stesso autore aveva anche caricato un codice simile in altri due pacchetti di AUR ma attualmente, il team di AUR, non ha rivelato quali sono.
State sereni
Ovviamente tutte le modifiche malevoli sono state annullate e l'account di xeactor è stato sospeso.
Leggi il contenuto originale su Marco's Box