Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Connector de Pidgin maliciós

Connector de Pidgin maliciós

El Mezo el Programari maliciós
Traduir a:
Català

El panorama digital està en constant evolució i les aplicacions de missatgeria instantània esdevenen integrants de la comunicació personal i professional. Tanmateix, aquestes plataformes també s'han convertit en objectius principals per als actors d'amenaça. Els recents incidents de ciberseguretat han posat de manifest els perills que s'amaguen a les aplicacions de missatgeria àmpliament utilitzades, amb campanyes de programari maliciós sofisticades dirigides a usuaris desprevinguts. Aquest article explora l'augment d'aquestes amenaces, centrant-se en dos casos significatius: l'amenaçador connector Pidgin i una bifurcació compromesa de l'aplicació Signal.

La infiltració del connector Pidgin

El 22 d'agost de 2024, Pidgin, una popular aplicació de missatgeria de codi obert, va revelar que un connector corrupte anomenat ScreenShare-OTR (ss-otr) s'havia infiltrat a la seva llista oficial de connectors de tercers. Es va trobar que el connector, que es va comercialitzar com una eina per compartir la pantalla mitjançant el protocol de missatgeria Off-the-Record (OTR), contenia codi nefast. Inicialment, va passar desapercebut a causa de l'absència de codi font i de la disponibilitat de fitxers binaris només per a la seva descàrrega, una supervisió crítica que va permetre que l'amenaça s'estengués sense ser detectada.

Capacitats d’amenaça descobertes

Una anàlisi exhaustiva d'investigadors de ciberseguretat va descobrir la veritable naturalesa del connector ScreenShare-OTR. La investigació va revelar que el connector estava dissenyat per dur a terme diverses activitats malicioses:

  • Registre de tecles : el connector podria registrar les pulsacions de tecles, capturant informació sensible com ara contrasenyes i missatges privats.
  • Compartició de captures de pantalla : el connector va fer captures de pantalla i les va enviar als seus operadors, la qual cosa podria exposar informació confidencial.
  • Descàrrega i execució de binaris fraudulents : el connector està connectat a un servidor controlat per criminals per descarregar i executar més càrregues útils insegures, inclòs un script de PowerShell i el famós programari maliciós DarkGate .

L'instal·lador del connector es va signar amb un certificat legítim emès a una empresa polonesa, cosa que li va donar un aspecte d'autenticitat que probablement va ajudar a evitar les mesures de seguretat. Tant les versions de Windows com de Linux del connector van mostrar un comportament maliciós similar, demostrant l'amenaça multiplataforma que suposa aquest atac.

Les implicacions més àmplies

Una investigació posterior va revelar que el lloc que allotjava les càrregues útils insegures es feia passar per un dipòsit de connectors legítim. També oferia altres connectors populars com OMEMO, Pidgin Paranoia i Window Merge, que es podrien haver compromès. A més, la mateixa porta del darrere que es troba al connector ScreenShare-OTR es va descobrir a Cradle, una aplicació que es va presentar com a "programari de missatgeria antiforense".

Bressol: una suposada bifurcació de senyal

Cradle presenta un risc més insidios a causa de la seva associació amb Signal, una de les aplicacions de missatgeria segura més fiables. Tot i que Cradle és una bifurcació de codi obert de Signal, no està patrocinat ni afiliat a la Signal Foundation. Malgrat això, va aconseguir convèncer els usuaris de la seva legitimitat, en part perquè el seu codi font bifurcat estava parcialment disponible a GitHub.

Tanmateix, una inspecció més profunda va revelar que Cradle es va construir amb un codi diferent del que estava disponible públicament. L'aplicació estava incrustada amb el mateix codi maliciós que el connector ScreenShare-OTR, capaç de descarregar scripts que van desplegar el programari maliciós DarkGate. La presència d'aquest programari maliciós tant a les versions de Cradle com a Windows i Linux va subratllar encara més els riscos multiplataforma que suposaven aquests atacs.

DarkGate: una amenaça persistent i en evolució

DarkGate no és un jugador nou a l'ecosistema de programari maliciós. Documentat per primera vegada el 2018, s'ha convertit en una plataforma sofisticada de programari maliciós com a servei (MaaS). DarkGate ofereix una àmplia gamma de capacitats, que inclouen:

  • Informàtica de xarxa virtual oculta (hVNC)
  • Execució de codi a distància
  • Criptomineria
  • Accés invers de Shell

El programari maliciós funciona sota un model de distribució estretament controlat, disponible només per a un grup selecte de clients. Després d'un període de relativa latència, DarkGate va tornar a sorgir amb venjança el setembre de 2023 després de la interrupció i la retirada de la infraestructura de Qakbot . Aquest ressorgiment va coincidir amb diverses campanyes de programari maliciós d'alt perfil, que indicaven que DarkGate s'havia convertit en una eina preferida entre els ciberdelinqüents.

El programari maliciós DarkGate: vectors d’infecció i impacte global

El ressorgiment de DarkGate ha estat marcat per la seva distribució generalitzada entre diversos vectors. Des de l'agost de 2023, els investigadors de ciberseguretat han observat nombroses campanyes que utilitzen diferents mètodes per infectar les víctimes amb DarkGate:

  • Xats d'equips : les víctimes van ser enganyades perquè baixessin l'instal·lador de DarkGate mitjançant enllaços enviats a través de Microsoft Teams.
  • Fitxers adjunts de correu electrònic : els correus electrònics que contenien arxius de gabinet (.cab) es van utilitzar per atreure les víctimes a descarregar i executar contingut no segur.
  • Càrrega lateral de DLL : es van explotar programes legítims per descarregar DarkGate mitjançant biblioteques d'enllaços dinàmics (DLL).
  • PDF danyats : es van utilitzar fitxers adjunts PDF amb enllaços a arxius ZIP que contenien fitxers de drecera de Windows (.lnk) per implementar DarkGate.
  • Fitxers d'arxiu Java (.jar) : Els hostes vulnerables s'han infectat mitjançant fitxers d'arxiu Java.
  • Fitxers HTML: els usuaris van ser enganyats per copiar i enganxar scripts maliciosos dels fitxers HTML a la barra d'execució de Windows.
  • Anuncis fraudulents : campanyes basades en anuncis van distribuir programari maliciós DarkGate a usuaris desprevinguts.
  • Comparticions de fitxers Samba obertes: els servidors que executaven comparticions de fitxers Samba obertes es van utilitzar per allotjar fitxers per a infeccions de DarkGate.

Impacte i abast global

Aquestes campanyes no s'han limitat a una regió específica. S'han informat infeccions per DarkGate a Amèrica del Nord, Europa i parts importants d'Àsia. La capacitat del programari maliciós per adaptar-se a diferents mecanismes de lliurament i les seves tècniques avançades d'evasió l'han convertit en un adversari formidable per als professionals de la ciberseguretat a tot el món.

El gener de 2024, DarkGate va llançar la seva sisena versió principal, amb la mostra descoberta identificada com la versió 6.1.6. Aquest desenvolupament i perfeccionament continus subratllen la persistència de l'amenaça i la importància de la vigilància per detectar i mitigar aquests atacs.

Conclusió: Enfortiment de les defenses contra les amenaces en evolució

Les recents campanyes de programari maliciós dirigides als usuaris de Pidgin i Cradle destaquen les tàctiques en evolució emprades pels ciberdelinqüents. L'ús d'aplicacions i complements aparentment legítims com a vectors per oferir programari maliciós sofisticat com DarkGate subratlla la necessitat de mesures sòlides de ciberseguretat. Els usuaris han de tenir precaució quan descarreguen complements o aplicacions de tercers, fins i tot de fonts aparentment acreditades. Mentrestant, els desenvolupadors i els professionals de la seguretat han de treballar junts per reforçar la seguretat dels ecosistemes de programari, assegurant-se que aquestes amenaces s'identifiquin i neutralitzin abans que puguin causar danys generalitzats.

En una època on les eines de comunicació digital són omnipresents, l'aposta mai ha estat més gran. A mesura que els actors de les amenaces continuen innovant, també ho han de fer les nostres defenses. La batalla contra el programari maliciós com DarkGate està en curs, però amb una consciència progressiva i uns hàbits proactius, podem mantenir-nos un pas per davant dels atacants.

Tendència

Més vist

Carregant...