عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Malicious Pidgin Plugin

Malicious Pidgin Plugin

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:
العربية

يتطور المشهد الرقمي باستمرار، حيث أصبحت تطبيقات المراسلة الفورية جزءًا لا يتجزأ من الاتصالات الشخصية والمهنية. ومع ذلك، أصبحت هذه المنصات أيضًا أهدافًا رئيسية للجهات الفاعلة المهددة. وقد سلطت حوادث الأمن السيبراني الأخيرة الضوء على المخاطر الكامنة في تطبيقات المراسلة المستخدمة على نطاق واسع، مع حملات البرامج الضارة المتطورة التي تستهدف المستخدمين غير المطلعين. تستكشف هذه المقالة صعود هذه التهديدات، مع التركيز على حالتين مهمتين: البرنامج الإضافي Pidgin المهدد وشوكة مخترقة لتطبيق Signal.

تسلل البرنامج الإضافي Pidgin

في 22 أغسطس 2024، كشف تطبيق Pidgin، وهو تطبيق مراسلة مفتوح المصدر شهير، عن تسلل مكون إضافي تالف باسم ScreenShare-OTR (ss-otr) إلى قائمة المكونات الإضافية الرسمية التابعة لجهات خارجية. وقد تبين أن المكون الإضافي، الذي تم تسويقه كأداة لمشاركة الشاشة عبر بروتوكول المراسلة Off-the-Record (OTR)، يحتوي على كود خبيث. في البداية، مر دون أن يلاحظه أحد بسبب غياب الكود المصدري وتوافر الملفات الثنائية فقط للتنزيل - وهو إغفال بالغ الأهمية سمح للتهديد بالانتشار دون أن يتم اكتشافه.

الكشف عن قدرات تهديدية

كشف تحليل شامل أجراه باحثون في مجال الأمن السيبراني عن الطبيعة الحقيقية لمكون ScreenShare-OTR الإضافي. وكشف التحقيق أن المكون الإضافي صُمم لأداء العديد من الأنشطة الضارة:

  • تسجيل ضغطات المفاتيح : يمكن للمكون الإضافي تسجيل ضغطات المفاتيح، والتقاط معلومات حساسة مثل كلمات المرور والرسائل الخاصة.
  • مشاركة لقطات الشاشة : قام البرنامج المساعد بالتقاط لقطات شاشة وإرسالها إلى مشغليه، مما قد يؤدي إلى الكشف عن معلومات سرية.
  • تنزيل الثنائيات الاحتيالية وتنفيذها : يتم توصيل البرنامج المساعد بخادم خاضع لسيطرة المجرمين لتنزيل وتنفيذ المزيد من الحمولات غير الآمنة، بما في ذلك البرنامج النصي PowerShell والبرمجيات الخبيثة DarkGate سيئة السمعة.

تم توقيع برنامج تثبيت البرنامج الإضافي بشهادة شرعية صادرة لشركة بولندية، مما يضفي عليه مظهرًا من الأصالة ساعد على الأرجح في تجاوز تدابير الأمان. أظهرت إصدارات Windows وLinux من البرنامج الإضافي سلوكًا ضارًا مشابهًا، مما يوضح التهديد متعدد الأنظمة الذي يشكله هذا الهجوم.

التأثيرات الأوسع نطاقا

وقد كشف المزيد من التحقيقات أن الموقع الذي يستضيف الحمولات غير الآمنة كان متنكراً في هيئة مستودع شرعي للمكونات الإضافية. كما قدم أيضاً مكونات إضافية شهيرة أخرى مثل OMEMO وPidgin Paranoia وWindow Merge، والتي كان من الممكن أن تكون قد تعرضت للاختراق. وعلاوة على ذلك، تم اكتشاف نفس الباب الخلفي الموجود في المكون الإضافي ScreenShare-OTR في Cradle، وهو تطبيق يروج لنفسه باعتباره "برنامج مراسلة مضاد للطب الشرعي".

Cradle: شوكة إشارة مفترضة

يشكل Cradle خطرًا أكثر خطورة بسبب ارتباطه بتطبيق Signal، أحد أكثر تطبيقات المراسلة الآمنة الموثوق بها. ورغم أن Cradle عبارة عن نسخة مفتوحة المصدر من Signal، إلا أنها لا ترعاها ولا تتبع مؤسسة Signal. وعلى الرغم من هذا، فقد نجحت في إقناع المستخدمين بشرعيتها، ويرجع ذلك جزئيًا إلى أن كود المصدر المتشعب الخاص بها كان متاحًا جزئيًا على GitHub.

ومع ذلك، كشف فحص أعمق أن Cradle تم بناؤه باستخدام كود مختلف عما كان متاحًا للعامة. تم تضمين التطبيق بنفس الكود الخبيث مثل المكون الإضافي ScreenShare-OTR، القادر على تنزيل البرامج النصية التي نشرت برنامج DarkGate الخبيث. إن وجود هذا البرنامج الخبيث في كل من إصداري Windows وLinux من Cradle أكد بشكل أكبر على المخاطر التي تشكلها هذه الهجمات على الأنظمة الأساسية.

DarkGate: تهديد مستمر ومتطور

DarkGate ليس لاعبًا جديدًا في منظومة البرامج الضارة. تم توثيقه لأول مرة في عام 2018، وتطور إلى منصة متطورة للبرامج الضارة كخدمة (MaaS). يوفر DarkGate مجموعة واسعة من القدرات، بما في ذلك:

  • الحوسبة الشبكية الافتراضية المخفية (hVNC)
  • تنفيذ التعليمات البرمجية عن بعد
  • التعدين المشفر
  • الوصول إلى الغلاف العكسي

يعمل البرنامج الخبيث بموجب نموذج توزيع محكم التحكم، ومتاح فقط لمجموعة مختارة من العملاء. بعد فترة من الخمول النسبي، عاد DarkGate للظهور بقوة في سبتمبر 2023 بعد تعطيل البنية التحتية لـ Qakbot وإزالتها. تزامن هذا الظهور مع العديد من حملات البرامج الضارة البارزة، مما يشير إلى أن DarkGate أصبح أداة مفضلة بين مجرمي الإنترنت.

برنامج DarkGate الخبيث: ناقلات العدوى والتأثير العالمي

تميزت عودة DarkGate إلى الظهور بانتشاره الواسع عبر مختلف المتجهات. منذ أغسطس 2023، لاحظ باحثو الأمن السيبراني العديد من الحملات التي تستخدم طرقًا مختلفة لإصابة الضحايا بـ DarkGate:

  • محادثات الفرق : تم خداع الضحايا لتنزيل برنامج DarkGate المثبت عبر الروابط المرسلة عبر Microsoft Teams.
  • مرفقات البريد الإلكتروني : تم استخدام رسائل البريد الإلكتروني التي تحتوي على أرشيفات Cabinet (.cab) لإغراء الضحايا بتنزيل محتوى غير آمن وتنفيذه.
  • تحميل DLL جانبيًا : تم استغلال البرامج المشروعة لتحميل DarkGate جانبيًا عبر مكتبات الارتباط الديناميكي (DLLs).
  • ملفات PDF تالفة : تم استخدام مرفقات PDF مع روابط لأرشيفات ZIP تحتوي على ملفات اختصار Windows (.lnk) لنشر DarkGate.
  • ملفات أرشيف Java (.jar) : تم إصابة الأجهزة المضيفة المعرضة للخطر من خلال ملفات أرشيف Java.
  • ملفات HTML: تم خداع المستخدمين من خلال نسخ ولصق البرامج النصية الضارة من ملفات HTML في شريط التشغيل في Windows.
  • الإعلانات الاحتيالية : قامت الحملات القائمة على الإعلانات بتوزيع برامج DarkGate الضارة على المستخدمين غير المطلعين.
  • مشاركات ملفات Samba المفتوحة: تم استخدام الخوادم التي تعمل على مشاركة ملفات Samba المفتوحة لاستضافة الملفات الخاصة بعدوى DarkGate.

الوصول والتأثير العالمي

ولم تقتصر هذه الحملات على منطقة بعينها. فقد تم الإبلاغ عن إصابات بـ DarkGate في مختلف أنحاء أمريكا الشمالية وأوروبا وأجزاء كبيرة من آسيا. وقد جعلت قدرة البرامج الضارة على التكيف مع آليات التسليم المختلفة وتقنيات التهرب المتقدمة التي تستخدمها منها خصمًا هائلاً لمحترفي الأمن السيبراني في جميع أنحاء العالم.

في يناير 2024، أصدرت DarkGate إصدارها الرئيسي السادس، مع تحديد العينة غير المكتشفة على أنها الإصدار 6.1.6. ويؤكد هذا التطوير والتحسين المستمر على استمرار التهديد وأهمية اليقظة في الكشف عن مثل هذه الهجمات والتخفيف من حدتها.

الخاتمة: تعزيز الدفاعات ضد التهديدات المتطورة

إن حملات البرامج الضارة الأخيرة التي تستهدف مستخدمي Pidgin وCradle تسلط الضوء على التكتيكات المتطورة التي يستخدمها مجرمو الإنترنت. إن استخدام التطبيقات والمكونات الإضافية التي تبدو شرعية كناقلات لتوصيل البرامج الضارة المتطورة مثل DarkGate يؤكد على الحاجة إلى تدابير أمنية سيبرانية قوية. يجب على المستخدمين توخي الحذر عند تنزيل المكونات الإضافية أو التطبيقات من جهات خارجية، حتى من مصادر تبدو موثوقة. وفي الوقت نفسه، يجب على المطورين ومحترفي الأمن العمل معًا لتعزيز أمن أنظمة البرامج، وضمان تحديد مثل هذه التهديدات وتحييدها قبل أن تتسبب في ضرر واسع النطاق.

في عصر أصبحت فيه أدوات الاتصال الرقمية منتشرة في كل مكان، لم تكن المخاطر أعلى من أي وقت مضى. ومع استمرار الجهات الفاعلة في التهديد في الابتكار، يجب أن تتطور دفاعاتنا أيضًا. إن المعركة ضد البرامج الضارة مثل DarkGate مستمرة، ولكن مع زيادة الوعي بشكل تدريجي والعادات الاستباقية، يمكننا أن نبقى متقدمين بخطوة واحدة على المهاجمين.

الشائع

راديو الانترنت

البرامج غير المرغوب فيها, برامج إعلانية, متصفحات الخاطفين
في عالم مترابط بشكل متزايد، أصبحت أمان أجهزتك أكثر أهمية من أي وقت مضى. تتطور التهديدات السيبرانية، وتمثل البرامج غير المرغوب فيها فئة خادعة بشكل خاص من البرامج التي يمكن أن تقوض خصوصيتك وأمانك....

سارق البانشي

سارقون, البرمجيات الخبيثة
في الوقت الحاضر، أصبحت حياتنا الشخصية والمالية والمهنية متشابكة بشكل معقد مع أجهزتنا، ولا يمكن المبالغة في تهديد البرامج الضارة. يعمل مجرمو الإنترنت على ترقية تكتيكاتهم باستمرار، وتطوير برامج ضارة أكثر تطوراً للتسلل إلى الأنظمة وسرقة المعلومات الحساسة والتسبب في أضرار جسيمة. أحد هذه التهديدات الهائلة هو Banshee Stealer، وهو برنامج ضار لسرقة المعلومات يستهدف مستخدمي أجهزة Mac على وجه التحديد. إن...

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

التصيد الاحتيالي, رسائل إلكترونية مزعجة
37,953
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...