Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Malicious Pidgin Plugin

Malicious Pidgin Plugin

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:
Ελληνικά

Το ψηφιακό τοπίο εξελίσσεται διαρκώς, με τις εφαρμογές άμεσων μηνυμάτων να γίνονται αναπόσπαστο κομμάτι της προσωπικής και επαγγελματικής επικοινωνίας. Ωστόσο, αυτές οι πλατφόρμες έχουν γίνει επίσης πρωταρχικοί στόχοι για τους παράγοντες απειλών. Πρόσφατα περιστατικά ασφάλειας στον κυβερνοχώρο έχουν επισημάνει τους κινδύνους που ελλοχεύουν σε ευρέως χρησιμοποιούμενες εφαρμογές ανταλλαγής μηνυμάτων, με εξελιγμένες καμπάνιες κακόβουλου λογισμικού που στοχεύουν ανυποψίαστους χρήστες. Αυτό το άρθρο διερευνά την άνοδο αυτών των απειλών, εστιάζοντας σε δύο σημαντικές περιπτώσεις: την απειλητική προσθήκη Pidgin και μια παραβιασμένη διχάλα της εφαρμογής Signal.

Η διείσδυση του πρόσθετου Pidgin

Στις 22 Αυγούστου 2024, το Pidgin, μια δημοφιλής εφαρμογή ανταλλαγής μηνυμάτων ανοιχτού κώδικα, αποκάλυψε ότι μια κατεστραμμένη προσθήκη με το όνομα ScreenShare-OTR (ss-otr) είχε διεισδύσει στην επίσημη λίστα προσθηκών τρίτων. Το πρόσθετο, το οποίο διατέθηκε στην αγορά ως εργαλείο για κοινή χρήση οθόνης μέσω του πρωτοκόλλου μηνυμάτων Off-the-Record (OTR), βρέθηκε ότι περιέχει κακόβουλο κώδικα. Αρχικά, πέρασε απαρατήρητο λόγω της απουσίας πηγαίου κώδικα και της διαθεσιμότητας μόνο δυαδικών αρχείων για λήψη—μια κρίσιμη παράβλεψη που επέτρεψε την εξάπλωση της απειλής χωρίς εντοπισμό.

Ακάλυπτες Απειλητικές Δυνατότητες

Μια ενδελεχής ανάλυση από ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψε την πραγματική φύση της προσθήκης ScreenShare-OTR. Η έρευνα αποκάλυψε ότι η προσθήκη σχεδιάστηκε για να εκτελεί διάφορες κακόβουλες δραστηριότητες:

  • Καταγραφή πλήκτρων : Η προσθήκη θα μπορούσε να καταγράφει πληκτρολογήσεις, καταγράφοντας ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης και προσωπικά μηνύματα.
  • Κοινή χρήση στιγμιότυπου οθόνης : Το πρόσθετο τράβηξε στιγμιότυπα οθόνης και τα έστειλε στους χειριστές του, εκθέτοντας ενδεχομένως εμπιστευτικές πληροφορίες.
  • Λήψη και εκτέλεση ψευδών δυαδικών αρχείων : Η προσθήκη είναι συνδεδεμένη με έναν διακομιστή που ελέγχεται από εγκληματίες για λήψη και εκτέλεση περαιτέρω μη ασφαλών ωφέλιμων φορτίων, συμπεριλαμβανομένου ενός σεναρίου PowerShell και του διαβόητου κακόβουλου λογισμικού DarkGate .

Το πρόγραμμα εγκατάστασης του πρόσθετου υπογράφηκε με ένα νόμιμο πιστοποιητικό που εκδόθηκε σε πολωνική εταιρεία, το οποίο του δανείζει ένα καπλαμά αυθεντικότητας που πιθανότατα βοήθησε στην παράκαμψη των μέτρων ασφαλείας. Τόσο οι εκδόσεις Windows όσο και Linux της προσθήκης εμφάνισαν παρόμοια κακόβουλη συμπεριφορά, αποδεικνύοντας την απειλή μεταξύ πλατφορμών που δημιουργεί αυτή η επίθεση.

Οι Ευρύτερες Επιπτώσεις

Περαιτέρω έρευνα αποκάλυψε ότι ο ιστότοπος που φιλοξενούσε τα μη ασφαλή ωφέλιμα φορτία μεταμφιέστηκε ως νόμιμο αποθετήριο πρόσθετων. Προσέφερε επίσης άλλα δημοφιλή πρόσθετα όπως το OMEMO, το Pidgin Paranoia και το Window Merge, τα οποία θα μπορούσαν να έχουν παραβιαστεί. Επιπλέον, η ίδια κερκόπορτα που βρέθηκε στο πρόσθετο ScreenShare-OTR ανακαλύφθηκε στο Cradle, μια εφαρμογή που αυτοχρηματοδοτήθηκε ως «λογισμικό ανταλλαγής μηνυμάτων κατά της εγκληματολογίας».

Κούνια: Μια υποτιθέμενη διχάλα σήματος

Το Cradle παρουσιάζει έναν πιο ύπουλο κίνδυνο λόγω της συσχέτισής του με το Signal, μια από τις πιο αξιόπιστες εφαρμογές ασφαλών μηνυμάτων. Αν και το Cradle είναι ένα fork ανοιχτού κώδικα της Signal, δεν χρηματοδοτείται ούτε συνδέεται με το Signal Foundation. Παρόλα αυτά, κατάφερε να πείσει τους χρήστες για τη νομιμότητά του, εν μέρει επειδή ο διχαλωμένος πηγαίος κώδικας του ήταν εν μέρει διαθέσιμος στο GitHub.

Ωστόσο, μια βαθύτερη επιθεώρηση αποκάλυψε ότι το Cradle κατασκευάστηκε χρησιμοποιώντας διαφορετικό κώδικα από αυτόν που ήταν διαθέσιμος δημόσια. Η εφαρμογή ήταν ενσωματωμένη με τον ίδιο κακόβουλο κώδικα με την προσθήκη ScreenShare-OTR, ικανή να κατεβάζει σενάρια που ανέπτυξαν το κακόβουλο λογισμικό DarkGate. Η παρουσία αυτού του κακόβουλου λογισμικού και στις δύο εκδόσεις του Cradle για Windows και Linux υπογράμμισε περαιτέρω τους κινδύνους μεταξύ πλατφορμών που ενέχουν αυτές οι επιθέσεις.

DarkGate: Μια επίμονη και εξελισσόμενη απειλή

Το DarkGate δεν είναι νέος παίκτης στο οικοσύστημα κακόβουλου λογισμικού. Τεκμηριώθηκε για πρώτη φορά το 2018, έχει εξελιχθεί σε μια εξελιγμένη πλατφόρμα Malware-as-a-Service (MaaS). Το DarkGate προσφέρει ένα ευρύ φάσμα δυνατοτήτων, όπως:

  • Υπολογισμός κρυφού εικονικού δικτύου (hVNC)
  • Απομακρυσμένη εκτέλεση κώδικα
  • Κρυπτοεξόρυξη
  • Reverse Shell Access

Το κακόβουλο λογισμικό λειτουργεί σύμφωνα με ένα αυστηρά ελεγχόμενο μοντέλο διανομής, διαθέσιμο μόνο σε μια επιλεγμένη ομάδα πελατών. Μετά από μια περίοδο σχετικής αδράνειας, το DarkGate επανεμφανίστηκε με εκδίκηση τον Σεπτέμβριο του 2023 μετά τη διακοπή και την κατάργηση της υποδομής Qakbot . Αυτή η αναζωπύρωση συνέπεσε με πολλές καμπάνιες κακόβουλου λογισμικού υψηλού προφίλ, υποδεικνύοντας ότι το DarkGate είχε γίνει ένα ευνοημένο εργαλείο μεταξύ των εγκληματιών του κυβερνοχώρου.

The DarkGate Malware: Infection Vectors and Global Impact

Η αναζωπύρωση του DarkGate έχει χαρακτηριστεί από την ευρεία κατανομή του σε διάφορους φορείς. Από τον Αύγουστο του 2023, οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν παρατηρήσει πολυάριθμες εκστρατείες που χρησιμοποιούν διαφορετικές μεθόδους για να μολύνουν τα θύματα με το DarkGate:

  • Teams Chats : Τα θύματα εξαπατήθηκαν για να κατεβάσουν το πρόγραμμα εγκατάστασης DarkGate μέσω συνδέσμων που αποστέλλονται μέσω του Microsoft Teams.
  • Συνημμένα ηλεκτρονικού ταχυδρομείου : Τα μηνύματα ηλεκτρονικού ταχυδρομείου που περιείχαν αρχειοθήκες (.cab) χρησιμοποιήθηκαν για να παρασύρουν τα θύματα να κατεβάσουν και να εκτελέσουν μη ασφαλές περιεχόμενο.
  • Παράπλευρη φόρτωση DLL : Έγινε εκμετάλλευση νόμιμων προγραμμάτων για την παράπλευρη φόρτωση του DarkGate μέσω βιβλιοθηκών δυναμικής σύνδεσης (DLL).
  • Κατεστραμμένα αρχεία PDF : Συνημμένα PDF με συνδέσμους σε αρχεία ZIP που περιέχουν αρχεία συντόμευσης των Windows (.lnk) χρησιμοποιήθηκαν για την ανάπτυξη του DarkGate.
  • Αρχεία Java Archive (.jar) : Οι ευάλωτοι κεντρικοί υπολογιστές μολύνθηκαν μέσω αρχείων αρχειοθέτησης Java.
  • Αρχεία HTML: Οι χρήστες εξαπατήθηκαν να αντιγράψουν και να επικολλήσουν κακόβουλα σενάρια από αρχεία HTML στη γραμμή εκτέλεσης των Windows.
  • Δόλιες διαφημίσεις : Οι καμπάνιες που βασίζονται σε διαφημίσεις διένειμαν κακόβουλο λογισμικό DarkGate σε ανυποψίαστους χρήστες.
  • Open Samba File Shares: Διακομιστές που εκτελούσαν ανοιχτά κοινόχρηστα αρχεία Samba χρησιμοποιήθηκαν για τη φιλοξενία αρχείων για μολύνσεις DarkGate.

    • Παγκόσμια απήχηση και αντίκτυπος

    Αυτές οι καμπάνιες δεν έχουν περιοριστεί σε μια συγκεκριμένη περιοχή. Μολύνσεις από το DarkGate έχουν αναφερθεί σε όλη τη Βόρεια Αμερική, την Ευρώπη και σημαντικά τμήματα της Ασίας. Η ικανότητα του κακόβουλου λογισμικού να προσαρμόζεται σε διαφορετικούς μηχανισμούς παράδοσης και οι προηγμένες τεχνικές αποφυγής του το έχουν καταστήσει τρομερό αντίπαλο για τους επαγγελματίες της κυβερνοασφάλειας παγκοσμίως.

    Τον Ιανουάριο του 2024, το DarkGate κυκλοφόρησε την έκτη σημαντική έκδοση, με το ακάλυπτο δείγμα να προσδιορίζεται ως έκδοση 6.1.6. Αυτή η συνεχής ανάπτυξη και τελειοποίηση υπογραμμίζουν την εμμονή της απειλής και τη σημασία της επαγρύπνησης για τον εντοπισμό και τον μετριασμό τέτοιων επιθέσεων.

    Συμπέρασμα: Ενίσχυση άμυνας κατά των εξελισσόμενων απειλών

    Οι πρόσφατες καμπάνιες κακόβουλου λογισμικού που στοχεύουν χρήστες Pidgin και Cradle υπογραμμίζουν τις εξελισσόμενες τακτικές που εφαρμόζουν οι εγκληματίες του κυβερνοχώρου. Η χρήση φαινομενικά νόμιμων εφαρμογών και προσθηκών ως φορέων για την παροχή εξελιγμένου κακόβουλου λογισμικού όπως το DarkGate υπογραμμίζει την ανάγκη για ισχυρά μέτρα ασφάλειας στον κυβερνοχώρο. Οι χρήστες πρέπει να είναι προσεκτικοί κατά τη λήψη προσθηκών ή εφαρμογών τρίτων, ακόμη και από φαινομενικά αξιόπιστες πηγές. Εν τω μεταξύ, οι προγραμματιστές και οι επαγγελματίες ασφάλειας πρέπει να συνεργαστούν για να ενισχύσουν την ασφάλεια των οικοσυστημάτων λογισμικού, διασφαλίζοντας ότι τέτοιες απειλές εντοπίζονται και εξουδετερώνονται προτού προκαλέσουν εκτεταμένη βλάβη.

    Σε μια εποχή όπου τα εργαλεία ψηφιακής επικοινωνίας είναι πανταχού παρόντα, το διακύβευμα δεν ήταν ποτέ μεγαλύτερο. Καθώς οι παράγοντες της απειλής συνεχίζουν να καινοτομούν, το ίδιο πρέπει και οι άμυνές μας. Η μάχη ενάντια σε κακόβουλο λογισμικό όπως το DarkGate είναι σε εξέλιξη, αλλά με σταδιακά μεγαλύτερη ευαισθητοποίηση και προληπτικές συνήθειες, μπορούμε να παραμείνουμε ένα βήμα μπροστά από τους εισβολείς.

    Τάσεις

    Banshee Stealer

    Κλέφτες, Κακόβουλο λογισμικό
    Σήμερα, η προσωπική, οικονομική και επαγγελματική ζωή μας είναι περίπλοκα συνυφασμένες με τις συσκευές μας και η απειλή κακόβουλου λογισμικού δεν μπορεί να υπερεκτιμηθεί. Οι εγκληματίες του κυβερνοχώρου αναβαθμίζουν συνεχώς τις τακτικές τους, αναπτύσσοντας πιο εξελιγμένο κακόβουλο λογισμικό για να διεισδύσουν σε συστήματα, να κλέψουν ευαίσθητες πληροφορίες και να προκαλέσουν σημαντική ζημιά....

    Περισσότερες εμφανίσεις

    Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

    Phishing, Ανεπιθύμητη αλληλογραφία
    37,953
    Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....

    Αναδυόμενα παράθυρα "Εάν είστε 18, πατήστε...

    Ψεύτικα προειδοποιητικά μηνύματα
    29,609
    Τα αναδυόμενα παράθυρα «Εάν είστε 18 ετών Πατήστε Επιτρέψτε» είναι ένας τύπος αναδυόμενης διαφήμισης που εμφανίζεται στην οθόνη ενός χρήστη κατά την περιήγηση στο Διαδίκτυο. Αυτά τα αναδυόμενα παράθυρα μπορεί να είναι αρκετά ανησυχητικά για τους χρήστες, καθώς τους προτρέπουν να κάνουν κλικ στο κουμπί "να επιτρέπεται" για να συνεχίσουν να χρησιμοποιούν τον ιστότοπο στον οποίο βρίσκονται αυτήν...
    Φόρτωση...