Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Злонамерен плъгин Pidgin

Злонамерен плъгин Pidgin

До Mezo през Зловреден софтуерг
Превод на:
български език

Дигиталната среда непрекъснато се развива, като приложенията за незабавни съобщения стават неразделна част от личната и професионалната комуникация. Въпреки това, тези платформи също се превърнаха в основни цели за заплахи. Скорошните инциденти с киберсигурността подчертаха опасностите, дебнещи в широко използваните приложения за съобщения, със сложни кампании за зловреден софтуер, насочени към нищо неподозиращи потребители. Тази статия изследва нарастването на тези заплахи, като се фокусира върху два значими случая: заплашителния плъгин Pidgin и компрометиран форк на приложението Signal.

Проникването на приставката Pidgin

На 22 август 2024 г. Pidgin, популярно приложение за съобщения с отворен код, разкри, че повреден плъгин на име ScreenShare-OTR (ss-otr) е проникнал в неговия официален списък с плъгини на трети страни. Приставката, която беше рекламирана като инструмент за споделяне на екрана през протокола за съобщения без запис (OTR), беше установено, че съдържа злонамерен код. Първоначално това остана незабелязано поради липсата на изходен код и наличието само на двоични файлове за изтегляне - критичен пропуск, който позволи на заплахата да се разпространи незабелязано.

Разкрити са заплашителни способности

Задълбочен анализ от изследователи на киберсигурността разкри истинската природа на плъгина ScreenShare-OTR. Разследването разкри, че плъгинът е проектиран да извършва няколко злонамерени дейности:

  • Keylogging : Плъгинът може да регистрира натискания на клавиши, като улавя чувствителна информация като пароли и лични съобщения.
  • Споделяне на екранни снимки : Плъгинът правеше екранни снимки и ги изпращаше на своите оператори, като потенциално разкриваше поверителна информация.
  • Изтегляне и изпълнение на измамни бинарни файлове : Плъгинът е свързан към сървър, контролиран от престъпници, за да изтегли и изпълни допълнителни опасни полезни натоварвания, включително скрипт PowerShell и прословутия зловреден софтуер DarkGate .

Инсталаторът на плъгина беше подписан с легитимен сертификат, издаден на полска компания, което му придаваше автентичност, която вероятно помогна да се заобиколят мерките за сигурност. Както Windows, така и Linux версиите на приставката показаха подобно злонамерено поведение, демонстрирайки заплахата между платформите, породена от тази атака.

По-широките последици

По-нататъшното разследване разкри, че сайтът, хостващ опасните полезни товари, се е маскирал като легитимно хранилище на плъгини. Той също така предлага други популярни добавки като OMEMO, Pidgin Paranoia и Window Merge, които може да са били компрометирани. Нещо повече, същата задна вратичка, намерена в приставката ScreenShare-OTR, беше открита в Cradle, приложение, което се таксуваше като „анти-съдебномедицински софтуер за съобщения“.

Люлка: предполагаема сигнална вилица

Cradle представлява по-коварен риск поради връзката си със Signal, едно от най-доверените приложения за сигурни съобщения. Въпреки че Cradle е разклонение с отворен код на Signal, то не е нито спонсорирано от, нито свързано с Signal Foundation. Въпреки това, той успя да убеди потребителите в своята легитимност, отчасти защото неговият разклонен изходен код беше частично достъпен в GitHub.

Въпреки това, по-задълбочена проверка разкри, че Cradle е създаден с помощта на код, различен от този, който беше публично достъпен. Приложението беше вградено със същия злонамерен код като плъгина ScreenShare-OTR, способен да изтегля скриптове, които разгръщат зловредния софтуер DarkGate. Наличието на този зловреден софтуер както във версиите на Cradle за Windows, така и за Linux допълнително подчертава крос-платформените рискове, породени от тези атаки.

DarkGate: Постоянна и развиваща се заплаха

DarkGate не е нов играч в екосистемата на зловреден софтуер. Документиран за първи път през 2018 г., той се превърна в усъвършенствана платформа за зловреден софтуер като услуга (MaaS). DarkGate предлага широка гама от възможности, включително:

  • Скрити виртуални мрежови изчисления (hVNC)
  • Дистанционно изпълнение на код
  • Криптодобив
  • Обратен достъп до Shell

Зловреден софтуер работи под строго контролиран модел на разпространение, достъпен само за избрана група клиенти. След период на относителна латентност, DarkGate се появи отново с отмъщение през септември 2023 г. след прекъсването и премахването на инфраструктурата на Qakbot . Това възраждане съвпадна с няколко високопоставени кампании за злонамерен софтуер, което показва, че DarkGate се е превърнал в предпочитан инструмент сред киберпрестъпниците.

Зловреден софтуер DarkGate: вектори на инфекция и глобално въздействие

Възраждането на DarkGate е белязано от широкото му разпространение в различни вектори. От август 2023 г. изследователите на киберсигурността са наблюдавали множество кампании, използващи различни методи за заразяване на жертвите с DarkGate:

  • Екипни чатове : Жертвите бяха подмамени да изтеглят инсталатора на DarkGate чрез връзки, изпратени чрез Microsoft Teams.
  • Прикачени файлове към имейли : Имейли, съдържащи архиви на шкаф (.cab), са използвани за примамване на жертвите да изтеглят и изпълнят опасно съдържание.
  • Странично зареждане на DLL : Използвани са легитимни програми за странично зареждане на DarkGate чрез библиотеки с динамични връзки (DLL).
  • Повредени PDF файлове : PDF прикачени файлове с връзки към ZIP архиви, съдържащи Windows преки пътища (.lnk) файлове, бяха използвани за внедряване на DarkGate.
  • Архивни файлове на Java (.jar) : Уязвими хостове бяха заразени чрез архивни файлове на Java.
  • HTML файлове: Потребителите са били измамени да копират и поставят злонамерени скриптове от HTML файлове в лентата за изпълнение на Windows.
  • Измамни реклами : Кампании, базирани на реклами, разпространяват зловреден софтуер DarkGate до нищо неподозиращи потребители.
  • Отворени споделени файлове Samba: Сървърите, изпълняващи отворени споделени файлове Samba, бяха използвани за хостване на файлове за инфекции на DarkGate.

Глобален обхват и въздействие

Тези кампании не са ограничени до определен регион. Инфекции с DarkGate са докладвани в Северна Америка, Европа и значителни части от Азия. Способността на злонамерения софтуер да се адаптира към различни механизми за доставка и неговите усъвършенствани техники за избягване го превърнаха в страхотен противник за специалистите по киберсигурност по целия свят.

През януари 2024 г. DarkGate пусна своята шеста основна версия, като непокритата извадка е идентифицирана като версия 6.1.6. Това непрекъснато развитие и усъвършенстване подчертават устойчивостта на заплахата и значението на бдителността при откриването и смекчаването на такива атаки.

Заключение: Укрепване на защитите срещу развиващи се заплахи

Неотдавнашните кампании за зловреден софтуер, насочени към потребителите на Pidgin и Cradle, подчертават развиващите се тактики, използвани от киберпрестъпниците. Използването на привидно легитимни приложения и добавки като вектори за доставяне на сложен зловреден софтуер като DarkGate подчертава необходимостта от стабилни мерки за киберсигурност. Потребителите трябва да бъдат внимателни, когато изтеглят плъгини или приложения на трети страни, дори от привидно надеждни източници. Междувременно разработчиците и специалистите по сигурността трябва да работят заедно, за да укрепят сигурността на софтуерните екосистеми, като гарантират, че такива заплахи са идентифицирани и неутрализирани, преди да могат да причинят широко разпространена вреда.

В епоха, в която цифровите комуникационни инструменти са повсеместни, залозите никога не са били по-високи. Тъй като участниците в заплахата продължават да правят нововъведения, това трябва да направи и нашата защита. Битката срещу зловреден софтуер като DarkGate продължава, но с прогресивно по-голяма осведоменост и проактивни навици можем да останем една крачка пред нападателите.

Тенденция

Интернет радио

Потенциално нежелани програми, Рекламен софтуер, Похитители на браузъри
В един все по-взаимосвързан свят сигурността на вашите устройства е по-критична от всякога. Кибер заплахите се развиват и потенциално нежеланите програми (PUP) представляват особено измамна...

Крадец на банши

Крадци, Зловреден софтуер
В днешно време нашият личен, финансов и професионален живот е тясно преплетен с нашите устройства и заплахата от зловреден софтуер не може да бъде надценена. Киберпрестъпниците надграждат своите тактики непрекъснато, разработвайки по-сложен злонамерен софтуер за проникване в системи, кражба на чувствителна информация и причиняване на значителни вреди. Една такава страхотна заплаха е Banshee...

Най-гледан

Зареждане...