Slevová nabídka pro více licencí
Databáze hrozeb Malware Škodlivý plugin Pidgin

Škodlivý plugin Pidgin

V roce Mezo v roce Malware
Přeložit do:
Čeština

Digitální prostředí se neustále vyvíjí a aplikace pro rychlé zasílání zpráv se stávají nedílnou součástí osobní a profesionální komunikace. Tyto platformy se však také staly hlavním cílem aktérů hrozeb. Nedávné incidenty kybernetické bezpečnosti upozornily na nebezpečí číhající v široce používaných aplikacích pro zasílání zpráv, se sofistikovanými malwarovými kampaněmi zaměřenými na nic netušící uživatele. Tento článek zkoumá vzestup těchto hrozeb a zaměřuje se na dva významné případy: ohrožující plugin Pidgin a kompromitovaný fork aplikace Signal.

Infiltrace pluginu Pidgin

22. srpna 2024 Pidgin, populární open-source aplikace pro zasílání zpráv, odhalila, že poškozený plugin s názvem ScreenShare-OTR (ss-otr) infiltroval její oficiální seznam pluginů třetích stran. Bylo zjištěno, že plugin, který byl prodáván jako nástroj pro sdílení obrazovky přes protokol zasílání zpráv Off-the-Record (OTR), obsahuje škodlivý kód. Zpočátku to zůstalo bez povšimnutí kvůli absenci zdrojového kódu a dostupnosti pouze binárních souborů ke stažení – kritický nedopatření, které umožnilo nepozorované šíření hrozby.

Odhalené schopnosti ohrožování

Důkladná analýza výzkumníků v oblasti kybernetické bezpečnosti odhalila skutečnou povahu pluginu ScreenShare-OTR. Vyšetřování odhalilo, že plugin byl navržen tak, aby prováděl několik škodlivých činností:

  • Keylogging : Plugin mohl zaznamenávat stisknuté klávesy a zachycovat citlivé informace, jako jsou hesla a soukromé zprávy.
  • Sdílení snímků obrazovky : Plugin pořídil snímky obrazovky a odeslal je svým provozovatelům, čímž potenciálně odhalil důvěrné informace.
  • Stahování a spouštění podvodných binárních souborů : Plugin je připojen k serveru kontrolovanému zločincem, aby mohl stahovat a spouštět další nebezpečné datové soubory, včetně skriptu PowerShell a notoricky známého malwaru DarkGate .

Instalační program pluginu byl podepsán legitimním certifikátem vydaným polské společnosti, což mu propůjčilo nádech pravosti, který pravděpodobně pomohl obejít bezpečnostní opatření. Verze zásuvného modulu pro Windows i Linux vykazovaly podobné škodlivé chování, což demonstrovalo multiplatformní hrozbu, kterou tento útok představuje.

Širší důsledky

Další vyšetřování odhalilo, že web hostující nebezpečné užitečné zatížení se maskoval jako legitimní úložiště pluginů. Nabízel také další oblíbené pluginy jako OMEMO, Pidgin Paranoia a Window Merge, které mohly být kompromitovány. Navíc, stejná zadní vrátka, která se nachází v pluginu ScreenShare-OTR, byla objevena v Cradle, aplikaci, která se označovala za „anti-forenzní software pro zasílání zpráv“.

Kolébka: Předpokládaná signální vidlice

Cradle představuje zákeřnější riziko kvůli svému spojení se Signal, jednou z nejdůvěryhodnějších aplikací pro bezpečné zasílání zpráv. Ačkoli Cradle je open-source fork společnosti Signal, není ani sponzorován ani spojen s Signal Foundation. Navzdory tomu dokázal přesvědčit uživatele o své legitimitě, částečně proto, že jeho rozvětvený zdrojový kód byl částečně dostupný na GitHubu.

Hlubší inspekce však odhalila, že Cradle byl postaven pomocí jiného kódu, než jaký byl veřejně dostupný. Aplikace byla vložena se stejným škodlivým kódem jako plugin ScreenShare-OTR, který je schopen stahovat skripty, které nasazují malware DarkGate. Přítomnost tohoto malwaru ve verzi Cradle pro Windows i Linux dále podtrhla rizika napříč platformami, která tyto útoky představují.

DarkGate: Trvalá a vyvíjející se hrozba

DarkGate není novým hráčem v malwarovém ekosystému. Poprvé zdokumentován v roce 2018 se vyvinul v sofistikovanou platformu Malware-as-a-Service (MaaS). DarkGate nabízí širokou škálu funkcí, včetně:

  • Hidden Virtual Network Computing (hVNC)
  • Vzdálené spuštění kódu
  • Cryptomining
  • Reverse Shell Access

Malware funguje na základě přísně kontrolovaného distribučního modelu, který je dostupný pouze vybrané skupině zákazníků. Po období relativního klidu se DarkGate znovu objevil s pomstou v září 2023 po narušení a odstranění infrastruktury Qakbot . Toto oživení se shodovalo s několika vysoce sledovanými malwarovými kampaněmi, což naznačuje, že DarkGate se stal oblíbeným nástrojem mezi kyberzločinci.

The DarkGate Malware: Infekční vektory a globální dopad

Oživení DarkGate bylo poznamenáno jeho rozšířenou distribucí napříč různými vektory. Od srpna 2023 badatelé v oblasti kybernetické bezpečnosti pozorovali četné kampaně využívající různé metody k infikování obětí pomocí DarkGate:

  • Chaty v Teams : Oběti byly podvedeny ke stažení instalačního programu DarkGate pomocí odkazů zaslaných prostřednictvím Microsoft Teams.
  • E-mailové přílohy : E-maily obsahující archivy kabinetu (.cab) byly použity k nalákání obětí ke stažení a spuštění nebezpečného obsahu.
  • DLL Sideloading : Legitimní programy byly zneužity k sideloadingu DarkGate prostřednictvím dynamických knihoven (DLL).
  • Poškozené soubory PDF : K nasazení DarkGate byly použity přílohy PDF s odkazy na archivy ZIP obsahující soubory zástupců Windows (.lnk).
  • Soubory Java Archive (.jar) : Zranitelní hostitelé byli infikováni prostřednictvím archivních souborů Java.
  • Soubory HTML: Uživatelé byli podvedeni ke kopírování a vkládání škodlivých skriptů ze souborů HTML do lišty Spustit ve Windows.
  • Podvodné reklamy : Kampaně založené na reklamách distribuovaly malware DarkGate nic netušícím uživatelům.
  • Otevřené sdílení souborů Samba: Servery s otevřenými sdíleními souborů Samba byly použity k hostování souborů pro infekce DarkGate.

Globální dosah a dopad

Tyto kampaně nebyly omezeny na konkrétní region. Infekce DarkGate byly hlášeny v Severní Americe, Evropě a významných částech Asie. Schopnost malwaru přizpůsobit se různým doručovacím mechanismům a jeho pokročilé únikové techniky z něj udělaly impozantního protivníka pro profesionály v oblasti kybernetické bezpečnosti po celém světě.

V lednu 2024 DarkGate vydal svou šestou hlavní verzi, s odkrytým vzorkem označeným jako verze 6.1.6. Tento neustálý vývoj a vylepšování podtrhují trvalost hrozby a důležitost bdělosti při odhalování a zmírňování takových útoků.

Závěr: Posílení obrany proti vyvíjejícím se hrozbám

Nedávné malwarové kampaně zaměřené na uživatele Pidgin a Cradle zdůrazňují vyvíjející se taktiky používané kyberzločinci. Použití zdánlivě legitimních aplikací a pluginů jako vektorů pro dodávání sofistikovaného malwaru, jako je DarkGate, podtrhuje potřebu robustních opatření v oblasti kybernetické bezpečnosti. Uživatelé musí být opatrní při stahování pluginů nebo aplikací třetích stran, a to i ze zdánlivě důvěryhodných zdrojů. Mezitím musí vývojáři a bezpečnostní profesionálové spolupracovat na posílení bezpečnosti softwarových ekosystémů a zajistit, aby takové hrozby byly identifikovány a neutralizovány dříve, než mohou způsobit rozsáhlé škody.

Ve věku, kdy jsou nástroje digitální komunikace všudypřítomné, nikdy nebylo v sázce vyšší. Jak aktéři hrozeb pokračují v inovacích, musí i naše obrana. Boj proti malwaru, jako je DarkGate, pokračuje, ale s postupně se zvyšujícím povědomím a proaktivními návyky můžeme zůstat o krok napřed před útočníky.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
37,953
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...