پلاگین Pidgin مخرب

چشم انداز دیجیتال همیشه در حال تحول است و برنامه های پیام رسانی فوری در ارتباطات شخصی و حرفه ای یکپارچه می شوند. با این حال، این پلتفرم‌ها به اهداف اصلی بازیگران تهدید نیز تبدیل شده‌اند. حوادث اخیر امنیت سایبری خطراتی را که در کمین برنامه های پیام رسانی پرکاربرد وجود دارد، با کمپین های بدافزار پیچیده که کاربران ناآگاه را هدف قرار می دهند، برجسته کرده است. این مقاله ظهور این تهدیدها را بررسی می‌کند و بر دو مورد مهم تمرکز می‌کند: پلاگین تهدیدکننده Pidgin و فورک در معرض خطر برنامه سیگنال.

نفوذ پلاگین Pidgin

در 22 آگوست 2024، Pidgin، یک برنامه پیام‌رسان منبع باز محبوب، فاش کرد که یک پلاگین خراب به نام ScreenShare-OTR (ss-otr) به لیست رسمی افزونه‌های شخص ثالث آن نفوذ کرده است. این افزونه که به عنوان ابزاری برای اشتراک‌گذاری صفحه از طریق پروتکل پیام‌رسانی Off-the-Record (OTR) به بازار عرضه شد، حاوی کدهای شرورانه بود. در ابتدا، به دلیل عدم وجود کد منبع و در دسترس بودن تنها فایل‌های باینری برای دانلود، مورد توجه قرار نگرفت - یک نظارت مهم که باعث می‌شد این تهدید بدون شناسایی گسترش یابد.

قابلیت های تهدیدآمیز کشف شد

تجزیه و تحلیل کامل توسط محققان امنیت سایبری ماهیت واقعی پلاگین ScreenShare-OTR را کشف کرد. تحقیقات نشان داد که این افزونه برای انجام چندین فعالیت مخرب طراحی شده است:

• Keylogging : این افزونه می‌تواند ضربه‌های کلید را ثبت کند و اطلاعات حساسی مانند رمز عبور و پیام‌های خصوصی را ثبت کند.
• به اشتراک گذاری اسکرین شات : این افزونه اسکرین شات هایی گرفته و برای اپراتورهای خود ارسال می کند و به طور بالقوه اطلاعات محرمانه را فاش می کند.
• دانلود و اجرای باینری های متقلب : این افزونه برای دانلود و اجرای بارهای ناامن بیشتر، از جمله اسکریپت PowerShell و بدافزار بدنام DarkGate ، به یک سرور تحت کنترل جنایی متصل است.

نصب کننده این افزونه با گواهی نامه قانونی صادر شده برای یک شرکت لهستانی امضا شده است که به آن روکشی از اعتبار می دهد که احتمالاً به دور زدن اقدامات امنیتی کمک می کند. هر دو نسخه ویندوز و لینوکس این افزونه رفتار مخرب مشابهی از خود نشان دادند که نشان دهنده تهدید بین پلتفرمی ناشی از این حمله است.

مفاهیم گسترده تر

بررسی‌های بیشتر نشان داد که سایتی که بارهای ناامن را میزبانی می‌کند، به عنوان یک مخزن قانونی پلاگین ظاهر شده است. همچنین افزونه های محبوب دیگری مانند OMEMO، Pidgin Paranoia و Window Merge را ارائه می دهد که ممکن است در معرض خطر قرار گیرند. علاوه بر این، همان درب پشتی موجود در افزونه ScreenShare-OTR در Cradle، برنامه‌ای که خود را به عنوان «نرم‌افزار پیام‌رسان ضد پزشکی قانونی» معرفی می‌کرد، کشف شد.

گهواره: یک فورک سیگنال فرضی

Cradle به دلیل ارتباط آن با Signal، یکی از قابل اعتمادترین برنامه های پیام رسانی ایمن، خطر موذیانه تری را ارائه می دهد. اگرچه Cradle یک فورک منبع باز سیگنال است، اما نه توسط بنیاد سیگنال حمایت می شود و نه وابسته به آن است. با وجود این، توانست کاربران را به مشروعیت خود متقاعد کند، تا حدی به این دلیل که کد منبع فورک شده آن تا حدی در GitHub در دسترس بود.

با این حال، یک بازرسی عمیق تر نشان داد که Cradle با استفاده از کدی متفاوت از آنچه در دسترس عموم بود ساخته شده است. این برنامه با همان کد مخرب پلاگین ScreenShare-OTR تعبیه شده بود که قادر به دانلود اسکریپت هایی بود که بدافزار DarkGate را مستقر می کردند. وجود این بدافزار در هر دو نسخه ویندوز و لینوکس Cradle بر خطرات متقابل پلتفرمی ناشی از این حملات تاکید بیشتری داشت.

دارک گیت: یک تهدید دائمی و در حال تحول

DarkGate بازیکن جدیدی در اکوسیستم بدافزار نیست. اولین بار در سال 2018 ثبت شد، و به یک پلتفرم پیچیده بدافزار به عنوان سرویس (MaaS) تبدیل شده است. DarkGate طیف گسترده ای از قابلیت ها را ارائه می دهد، از جمله:

• محاسبات شبکه مجازی پنهان (hVNC)
• اجرای کد از راه دور
• کریپتومینینگ
• دسترسی به پوسته معکوس

این بدافزار تحت یک مدل توزیع کاملاً کنترل شده عمل می کند که فقط برای گروهی از مشتریان در دسترس است. پس از یک دوره خواب نسبی، DarkGate دوباره با انتقام در سپتامبر 2023 به دنبال اختلال و از بین بردن زیرساخت Qakbot ظاهر شد. این تجدید حیات همزمان با چندین کمپین بدافزار معروف بود که نشان می‌دهد DarkGate به ابزاری مورد علاقه در بین مجرمان سایبری تبدیل شده است.

بدافزار DarkGate: ناقلین عفونت و تأثیر جهانی

ظهور DarkGate با توزیع گسترده آن در بردارهای مختلف مشخص شده است. از آگوست 2023، محققان امنیت سایبری کمپین های متعددی را مشاهده کرده اند که از روش های مختلف برای آلوده کردن قربانیان به DarkGate استفاده می کنند:

• Teams Chats : قربانیان فریب خوردند تا نصب کننده DarkGate را از طریق پیوندهای ارسال شده از طریق Microsoft Teams دانلود کنند.
• پیوست‌های ایمیل : ایمیل‌های حاوی آرشیو کابینت (cab.) برای ترغیب قربانیان به دانلود و اجرای محتوای ناامن استفاده می‌شد.

دسترسی و تأثیر جهانی

این کمپین ها به منطقه خاصی محدود نشده اند. عفونت های DarkGate در سراسر آمریکای شمالی، اروپا و بخش های قابل توجهی از آسیا گزارش شده است. توانایی این بدافزار برای انطباق با مکانیسم‌های مختلف تحویل و تکنیک‌های فرار پیشرفته آن، آن را به یک دشمن بزرگ برای متخصصان امنیت سایبری در سراسر جهان تبدیل کرده است.

در ژانویه 2024، DarkGate ششمین نسخه اصلی خود را منتشر کرد که نمونه کشف شده به عنوان نسخه 6.1.6 شناخته شد. این توسعه و اصلاح مستمر بر تداوم تهدید و اهمیت هوشیاری در شناسایی و کاهش چنین حملاتی تاکید دارد.

نتیجه گیری: تقویت دفاع در برابر تهدیدات در حال تحول

کمپین‌های بدافزار اخیر که کاربران Pidgin و Cradle را هدف قرار می‌دهند، تاکتیک‌های در حال تکاملی را که توسط مجرمان سایبری به کار می‌روند برجسته می‌کنند. استفاده از برنامه‌ها و پلاگین‌های ظاهراً قانونی به‌عنوان بردارهایی برای ارائه بدافزار پیچیده مانند DarkGate، بر نیاز به اقدامات امنیتی سایبری قوی تأکید می‌کند. کاربران باید هنگام دانلود افزونه ها یا برنامه های شخص ثالث، حتی از منابع به ظاهر معتبر، احتیاط کنند. در همین حال، توسعه‌دهندگان و متخصصان امنیتی باید برای تقویت امنیت اکوسیستم‌های نرم‌افزاری با یکدیگر همکاری کنند و اطمینان حاصل کنند که این گونه تهدیدات قبل از ایجاد آسیب گسترده شناسایی و خنثی می‌شوند.

در عصری که ابزارهای ارتباطی دیجیتال در همه جا وجود دارند، ریسک هرگز بالاتر از این نبوده است. همانطور که بازیگران تهدید به نوآوری ادامه می دهند، دفاع ما نیز باید به نوآوری ادامه دهد. نبرد با بدافزارهایی مانند DarkGate ادامه دارد، اما با آگاهی بیشتر و عادت‌های پیشگیرانه، می‌توانیم یک قدم جلوتر از مهاجمان باقی بمانیم.