Is this attack vector possible?
Direi che è possibile perché non esiste un software sicuro al 100%. In questo caso specifico si sta utilizzando Evince che utilizza la libreria PDF di Poppler che ha avuto diversi problemi di sicurezza in passato e c'è la possibilità che ci siano alcune vulnerabilità sconosciute in Evince o in Poppler o nella libreria libc ecc. E mentre probabilmente ha fatto questo come utente non privilegiato in passato c'erano stati attacchi di escalation di privilegi in Linux e probabilmente ce ne saranno altri in futuro. E una volta che l'attaccante ha accesso allo spazio del kernel non c'è molto che proteggerà dal compromesso permanente del sistema, che potrebbe includere anche i download, le chiavi scaricate per la verifica dei download ecc.
Ma una VM non avrebbe protetto completamente te anche perché c'erano bug in passato in XEN, VirtualBox, KVM / QEMU ecc., cioè ogni software di virtualizzazione.
How can I scan my linux machine for spyware?
Anche se penso che questo attacco sia possibile in teoria, dubito strongmente che possa essere fatto facilmente. Il che significa che questo attacco può essere fatto solo da un hacker molto esperto che probabilmente sarà anche in grado di ignorare qualsiasi scansione di spyware, perché tali scansioni impiegano solo delle euristiche e possono essere ingannate.
Se ritieni che il tuo sistema sia compromesso in modo così profondo, devi essere molto paranoico. Ma se ti occupi di segreti, alcune organizzazioni governative o criminali sono molto interessate a questa paranoia potrebbe essere giustificata. In questa situazione la tua unica scelta sarebbe probabilmente quella di gettare via il tuo sistema esistente e prenderne uno nuovo. Ricorda però che il nuovo sistema potrebbe essere già compromesso dal fornitore o compromesso durante la consegna o che i dati ripristinati dal backup potrebbero essere già stati compromessi da un'infezione precedente o che il router potrebbe essere infetto, ecc.
Non esiste una sicurezza al 100% e devi scoprire da solo quanto preziosi possono essere i tuoi dati o sistemi e quanto è probabile che tu possa essere vittima di attacchi molto mirati e costosi. E se hai appena aperto il tipico malware PDF che utilizza bug in Acrobat Reader, probabilmente sei al sicuro perché è altamente improbabile che questi attacchi funzionino anche contro Evince.
I had all last updates and installed and my linux was everytime updated.
Sebbene sia utile disporre degli ultimi aggiornamenti, è necessario comprendere che gli aggiornamenti vengono spesso eseguiti a causa di problemi di sicurezza rilevati. E spesso questi problemi di sicurezza sono usati negli exploits prima che l'aggiornamento venga rilasciato, cioè spesso l'aggiornamento viene fatto solo perché alcuni nuovi exploit sono stati scoperti in natura e hanno utilizzato bug precedentemente sconosciuti. Quindi avere gli aggiornamenti si risolve solo contro i problemi che sono già noti e risolti e non contro i problemi sconosciuti o non risolti.