¿Es posible este vector de ataque?
Yo diría que es posible porque no hay un software 100% seguro. En este caso específico, está utilizando Evince, que está utilizando la biblioteca de PDF de poppler que tuvo varios problemas de seguridad en el pasado, y existe la posibilidad de que existan algunas vulnerabilidades desconocidas en evince o en poppler o en la biblioteca libc, etc. hizo esto como un usuario sin privilegios en el pasado hubo ataques de escalamiento de privilegios en Linux y probablemente habrá más en el futuro. Y una vez que el atacante tenga acceso al espacio del kernel, no habrá mucho que proteja contra el compromiso total y permanente del sistema, que también podría incluir sus descargas, claves descargadas para la verificación de descargas, etc.
Pero una máquina virtual no lo habría protegido completamente a usted porque había errores en el pasado en XEN, VirtualBox, KVM / QEMU, etc., es decir, en todos los software de virtualización.
¿Cómo puedo escanear mi máquina Linux para detectar software espía?
Aunque creo que este ataque es posible en teoría, dudo mucho que se pueda hacer fácilmente. Lo que significa que este ataque solo puede ser realizado por un atacante muy bien informado que probablemente también podrá omitir cualquier análisis de spyware, ya que dichos análisis solo emplean algunas heurísticas y pueden ser engañados.
Si sientes que tu sistema está comprometido de manera tan profunda, debes ser muy paranoico. Pero si trata con los secretos, algunos gobiernos u organizaciones criminales están muy interesados en esta paranoia podría estar justificada. En esta situación, su única opción probablemente sería deshacerse de su sistema existente y obtener uno nuevo. Pero recuerde, que el nuevo sistema también puede estar comprometido por el proveedor o puede verse comprometido durante la entrega o que los datos que restaura desde la copia de seguridad podrían estar comprometidos por una infección anterior o que su enrutador podría estar infectado, etc.
No existe una seguridad al 100% y usted debe descubrir por sí mismo cuán valiosos pueden ser sus datos o sistemas y la probabilidad de que sea víctima de ataques muy específicos y costosos. Y si acaba de abrir el malware PDF típico que usa errores en Acrobat Reader, entonces probablemente esté seguro porque es muy poco probable que estos ataques también funcionen contra Evince.
Tenía todas las últimas actualizaciones e instaladas y mi linux se actualizaba cada vez.
Si bien es útil tener las últimas actualizaciones, debe comprender que las actualizaciones a menudo se realizan porque se encontraron problemas de seguridad. Y, a menudo, estos problemas de seguridad se utilizan en las vulnerabilidades antes de que se publique la actualización, es decir, a menudo la actualización solo se realiza porque se detectaron nuevas vulnerabilidades que utilizaban errores desconocidos anteriormente. Por lo tanto, tener las actualizaciones solo se corrige contra los problemas que ya se conocen y se han solucionado y no contra los problemas desconocidos o no solucionados.