Achtung, Nutzer: Xubuntu-Webseite verteilt Malware statt Downloads

Nutzer, die die leichtgewichtige Linux-Distribution Xubuntu herunterladen wollten, berichten, dass sie stattdessen Malware erhielten. Das Projektteam hat die Downloads vorübergehend deaktiviert.

Berichten aus Reddit-Communities zufolge ist die Xubuntu-Webseite vermutlich Ziel eines Hackerangriffs geworden. Torrent-Download-Links wurden offenbar durch bösartige Links ersetzt, die ZIP-Archive mit einer verdächtigen ausführbaren Datei enthalten.

Die Datei startet einen gefälschten „Xubuntu – Safe Downloader“. Sicherheitsanbieter haben die Datei als Trojaner eingestuft.

Xubuntu basiert auf Ubuntu, nutzt jedoch die Desktop-Umgebung Xfce statt GNOME. Dadurch ist es schneller, einfacher und weniger hardwareintensiv. Der Vorfall kommt zu einem kritischen Zeitpunkt, da viele Windows-10-Nutzer nach Alternativen suchen, da für das Betriebssystem keine Sicherheitsupdates mehr bereitgestellt werden.

Experten stellen fest, dass die Malware Krypto-Wallet-Adressen durch vom Angreifer kontrollierte Adressen ersetzt. Bisher gingen jedoch keine Bitcoins oder Ethereum verloren. In Tests forderte der gefälschte Downloader die Auswahl einer „Ziel-Windows-Version“, zeigte aber nur Xubuntu an – ein Hinweis darauf, dass der Angriff womöglich aus früheren Kampagnen übernommen wurde, die auf Windows abzielten.

Auf Reddit kommentierte ein Nutzer mit dem Pseudonym pleia2, der wahrscheinlich das Xubuntu-Team vertritt:
„Wir sind für Upgrades auf unsere Hosting-Umgebung angewiesen, und es sieht so aus, als hätte es hier einen kleinen Ausrutscher gegeben. Wir arbeiten daran, aber vorerst ist die Download-Seite deaktiviert. Wir sind gerade dabei, auf eine statische Umgebung umzusteigen, wodurch solche Vorfälle der Vergangenheit angehören sollten, aber unser Team ist recht klein und sehr beschäftigt.“

Betroffene Nutzer sollten Passwörter ändern, aktive Sitzungen beenden, Krypto-Assets in neue Wallets übertragen und Windows neu installieren oder überprüfen.

Die Xubuntu-Webseite wurde Mitte Oktober 2025 offenbar kompromittiert. Nutzer entdeckten fremdsprachige Blogeinträge und ein manipuliertes Impressum mit dem Datum 2026, was auf ein Defacement über den Blog oder ein eingebettetes Skript hindeutet.

Die Community berichtet, dass die Seite am 11. Oktober noch normal war, kurz danach jedoch kompromittiert wurde. Der Angriff beschränkte sich auf die Webpräsenz, nicht auf Repositories. Seit dem 18. Oktober 2025 wurde über die offizielle Downloadseite Malware verteilt.

Die Downloads enthielten eine ZIP-Datei mit einer EXE-Datei und einer tos.txt mit dem Datum 2026. Analysen von VirusTotal erkannten die Datei als Trojaner. Die Malware wurde nach etwa acht Stunden entfernt; offizielle Images bei Canonical waren nicht betroffen.

Bis zu einer offiziellen Stellungnahme sollten Nutzer keine Downloads von der Xubuntu-Webseite durchführen und ihre Systeme auf Viren prüfen, wenn sie kürzlich Dateien heruntergeladen haben.

Warum die Malware als Windows-Executable vorlag, ist unklar. Möglich ist, dass sie Linux diskreditieren oder gezielt Windows-Umsteiger angreifen sollte. Systeme mit Wine könnten die Datei zudem ausführen. Der Vorfall untergräbt das Vertrauen in Linux-Distributionsmechanismen. In den vergangenen Monaten gab es vermehrte Angriffe auf Linux-Projekte, darunter Arch-AUR, Fedora und Red Hat.

Die Payload des Trojaners war ein Crypto-Clipper, der Krypto-Wallet-Adressen in der Zwischenablage ersetzt. Die Malware richtete sich offenbar an unerfahrene Linux-Umsteiger, da sie sich im versteckten Windows-Verzeichnis AppData einnistete.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky