Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara Pahatahtlik Pidgini pistikprogramm

Pahatahtlik Pidgini pistikprogramm

Aastaks Mezo aastal Pahavara
Tõlgi:
Eesti

Digitaalne maastik areneb pidevalt ning kiirsuhtlusrakendused muutuvad isikliku ja professionaalse suhtluse lahutamatuks osaks. Kuid need platvormid on muutunud ka ohus osalejate peamisteks sihtmärkideks. Hiljutised küberjulgeolekuintsidendid on toonud esile ohud, mis varitsevad laialdaselt kasutatavaid sõnumsiderakendusi, kusjuures keerukad pahavarakampaaniad on suunatud pahaaimamatutele kasutajatele. See artikkel uurib nende ohtude esilekerkimist, keskendudes kahele olulisele juhtumile: ähvardavale Pidgini pistikprogrammile ja signaalirakenduse kahjustatud hargile.

Pidgini pistikprogrammi sissetung

22. augustil 2024 avastas populaarne avatud lähtekoodiga sõnumsiderakendus Pidgin, et rikutud pistikprogramm nimega ScreenShare-OTR (ss-otr) on tunginud selle ametlikku kolmanda osapoole pistikprogrammide loendisse. Leiti, et pistikprogramm, mida turustati ekraani jagamise tööriistana läbi Off-the-Record (OTR) sõnumsideprotokolli, sisaldas õelat koodi. Algselt jäi see märkamatuks, kuna puudus lähtekood ja allalaadimiseks olid saadaval ainult binaarfailid – kriitiline möödalask, mis võimaldas ohul märkamatult levida.

Ähvardavad võimalused paljastatud

Küberturvalisuse teadlaste põhjalik analüüs paljastas pistikprogrammi ScreenShare-OTR tõelise olemuse. Uurimine näitas, et pistikprogramm oli loodud mitme pahatahtliku tegevuse sooritamiseks:

  • Klahvilogimine : pistikprogramm võib logida klahvivajutused, jäädvustada tundlikku teavet, nagu paroolid ja privaatsõnumid.
  • Ekraanipiltide jagamine : pistikprogramm tegi ekraanipilte ja saatis need oma operaatoritele, paljastades potentsiaalselt konfidentsiaalse teabe.
  • Petturlike binaarfailide allalaadimine ja käivitamine : pistikprogramm on ühendatud kurjategijate kontrolli all oleva serveriga, et laadida alla ja käivitada täiendavaid ohtlikke kasulikke koormusi, sealhulgas PowerShelli skripti ja kurikuulsat DarkGate'i pahavara.

Pistikprogrammi installija allkirjastati Poola ettevõttele väljastatud seadusliku sertifikaadiga, mis andis sellele autentsuse spooni, mis tõenäoliselt aitas turvameetmetest mööda minna. Nii pistikprogrammi Windowsi kui ka Linuxi versioonid näitasid sarnast pahatahtlikku käitumist, mis näitab selle rünnakuga kaasnevat platvormidevahelist ohtu.

Laiemad tagajärjed

Täiendav uurimine näitas, et ohtlikke koormusi majutav sait maskeeriti seadusliku pistikprogrammide hoidlana. See pakkus ka teisi populaarseid pistikprogramme, nagu OMEMO, Pidgin Paranoia ja Window Merge, mis võisid ohtu sattuda. Lisaks avastati sama tagauks, mis leiti pistikprogrammis ScreenShare-OTR, rakenduses Cradle, mis nimetas end kohtuekspertiisi vastase sõnumitarkvarana.

Häll: oletatav signaalikahvel

Cradle kujutab endast salakavalamat ohtu, kuna see on seotud Signaliga, mis on üks usaldusväärsemaid turvalisi sõnumsiderakendusi. Kuigi Cradle on Signali avatud lähtekoodiga kahvel, ei sponsoreeri seda Signali sihtasutus ega ole sellega seotud. Sellest hoolimata suutis see kasutajaid veenda oma legitiimsuses, osaliselt seetõttu, et selle kahvli lähtekood oli GitHubis osaliselt saadaval.

Põhjalikum kontroll näitas aga, et Cradle’i ehitamisel kasutati teistsugust koodi kui see, mis oli avalikult kättesaadav. Rakendus oli manustatud sama pahatahtliku koodiga nagu pistikprogramm ScreenShare-OTR, mis on võimeline alla laadima skripte, mis juurutasid DarkGate'i pahavara. Selle pahavara olemasolu nii Cradle'i Windowsi kui ka Linuxi versioonides rõhutas veelgi nende rünnakute põhjustatud platvormidevahelisi riske.

DarkGate: püsiv ja arenev oht

DarkGate pole pahavara ökosüsteemis uus mängija. Esmakordselt dokumenteeritud 2018. aastal on see arenenud keerukaks pahavara teenusena (MaaS) platvormiks. DarkGate pakub laia valikut võimalusi, sealhulgas:

  • Varjatud virtuaalvõrgu andmetöötlus (hVNC)
  • Koodi kaugtäitmine
  • Krüptokaevandamine
  • Vastupidine Shelli juurdepääs

Pahavara töötab rangelt kontrollitud levitamismudeli alusel, mis on saadaval ainult valitud klientide rühmale. Pärast suhtelist puhkeperioodi tõusis DarkGate taas kättemaksuga 2023. aasta septembris pärast Qakboti infrastruktuuri katkemist ja mahavõtmist. See taaselustamine langes kokku mitme kõrgetasemelise pahavarakampaaniaga, mis näitab, et DarkGate'ist on saanud küberkurjategijate lemmiktööriist.

DarkGate’i pahavara: nakkusvektorid ja globaalne mõju

DarkGate'i taaselustamist on iseloomustanud selle laialdane levik erinevates vektorites. Alates 2023. aasta augustist on küberjulgeolekuteadlased jälginud arvukalt kampaaniaid, mis kasutavad erinevaid meetodeid ohvrite DarkGate'iga nakatamiseks:

  • Meeskondade vestlused : Ohvreid meelitati Microsoft Teamsi kaudu saadetud linkide kaudu alla laadima DarkGate'i installer.
  • Meilimanused : kabineti (.cab) arhiive sisaldavaid meile kasutati ohvrite meelitamiseks ebaturvalist sisu alla laadima ja käivitama.
  • DLL-i külglaadimine : DarkGate'i külglaadimiseks kasutati dünaamiliste lingiteekide (DLL-ide) kaudu seaduslikke programme.
  • Rikutud PDF-id : DarkGate'i juurutamiseks kasutati PDF-manuseid ZIP-arhiivide linkidega, mis sisaldavad Windowsi otsetee (.lnk) faile.
  • Java arhiivi (.jar) failid : haavatavad hostid nakatati Java arhiivifailide kaudu.
  • HTML-failid: kasutajaid peteti HTML-failidest pahatahtlikke skripte kopeerima ja Windowsi käivitusribale kleepima.
  • Petturlikud reklaamid : reklaamipõhised kampaaniad levitasid pahaaimamatutele kasutajatele DarkGate'i pahavara.
  • Avatud Samba failijagamised: avatud Samba failijagamisi kasutavaid servereid kasutati DarkGate'i nakkuste failide majutamiseks.

Globaalne haare ja mõju

Need kampaaniad ei ole piirdunud kindla piirkonnaga. DarkGate'i nakkustest on teatatud kogu Põhja-Ameerikas, Euroopas ja paljudes Aasia osades. Pahavara võime kohaneda erinevate edastamismehhanismidega ja selle täiustatud kõrvalehoidmistehnikad on muutnud selle küberturvalisuse spetsialistide jaoks kogu maailmas tohutuks vastase.

2024. aasta jaanuaris andis DarkGate välja oma kuuenda suurema versiooni, mille katmata näidis oli identifitseeritud versiooniks 6.1.6. See pidev arendamine ja täiustamine rõhutab ohu püsivust ja valvsuse tähtsust selliste rünnakute tuvastamisel ja leevendamisel.

Järeldus: kaitsevõime tugevdamine arenevate ohtude vastu

Hiljutised Pidgini ja Cradle'i kasutajatele suunatud pahavarakampaaniad toovad esile küberkurjategijate kasutatavate arenevate taktikate. Pealtnäha legitiimsete rakenduste ja pistikprogrammide kasutamine keeruka pahavara (nt DarkGate) edastamiseks rõhutab vajadust tugevate küberjulgeolekumeetmete järele. Kasutajad peavad olema ettevaatlikud, kui laadivad alla kolmanda osapoole pistikprogramme või rakendusi, isegi näiliselt usaldusväärsetest allikatest. Samal ajal peavad arendajad ja turbespetsialistid tegema koostööd, et tugevdada tarkvara ökosüsteemide turvalisust, tagades, et sellised ohud tuvastatakse ja neutraliseeritakse enne, kui need võivad põhjustada ulatuslikku kahju.

Ajastul, kus digitaalsed suhtlusvahendid on kõikjal levinud, pole panused kunagi suuremad olnud. Kuna ohus osalejad jätkavad uuendusi, peavad seda tegema ka meie kaitsemehhanismid. Võitlus pahavara, nagu DarkGate, vastu jätkub, kuid järjest suurema teadlikkuse ja ennetavate harjumustega suudame olla ründajatest sammu võrra ees.

Trendikas

Enim vaadatud

Hüpikaknad „Kui olete 18-aastane, puudutage valikut...

Võlts hoiatussõnumid
29,609
Kui olete 18-aastane, puudutage luba, on hüpikaknad, mis kuvatakse Interneti sirvimise ajal kasutaja ekraanile. Need hüpikaknad võivad olla kasutajatele üsna murettekitavad, kuna nad kutsuvad neid üles klõpsama nuppu "Luba", et jätkata praeguse veebisaidi kasutamist. Need hüpikaknad on seotud selliste soovimatute programmidega nagu reklaamvara, mis võib kasutajatele olulisi probleeme tekitada....
Laadimine...