Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma Haitallinen Pidgin-laajennus

Haitallinen Pidgin-laajennus

Vuonna Mezo vuonna Haittaohjelma
Käännä:
Suomi

Digitaalinen maisema kehittyy jatkuvasti, ja pikaviestisovelluksista on tulossa olennainen osa henkilökohtaista ja ammatillista viestintää. Näistä alustoista on kuitenkin tullut myös uhkatoimijoiden ensisijaisia kohteita. Viimeaikaiset kyberturvallisuushäiriöt ovat tuoneet esiin vaaroja, jotka piilevät laajalti käytetyissä viestisovelluksissa, ja kehittyneitä haittaohjelmakampanjoita on kohdistettu pahaa aavistamattomiin käyttäjiin. Tämä artikkeli tutkii näiden uhkien nousua keskittyen kahteen merkittävään tapaukseen: uhkaavaan Pidgin-laajennukseen ja Signal-sovelluksen vaarantuneeseen haaraan.

Pidgin-laajennuksen tunkeutuminen

22. elokuuta 2024 Pidgin, suosittu avoimen lähdekoodin viestintäsovellus, paljasti, että vioittunut laajennus nimeltä ScreenShare-OTR (ss-otr) oli tunkeutunut sen viralliselle kolmannen osapuolen laajennusluetteloon. Plugin, jota markkinoitiin työkaluna näytön jakamiseen Off-the-Record (OTR) -viestintäprotokollan kautta, havaittiin sisältävän ilkeää koodia. Aluksi se jäi huomaamatta, koska lähdekoodia ei ollut ja vain binääritiedostoja oli ladattavissa. Tämä on kriittinen virhe, joka mahdollisti uhan leviämisen huomaamatta.

Uhkaavia ominaisuuksia paljastettu

Kyberturvallisuustutkijoiden perusteellinen analyysi paljasti ScreenShare-OTR-laajennuksen todellisen luonteen. Tutkimus paljasti, että laajennus oli suunniteltu suorittamaan useita haitallisia toimintoja:

  • Näppäinten kirjaaminen : laajennus voi kirjata näppäinpainalluksia ja kaapata arkaluontoisia tietoja, kuten salasanoja ja yksityisviestejä.
  • Kuvakaappauksen jakaminen : laajennus otti kuvakaappauksia ja lähetti ne operaattoreilleen, mikä saattaa paljastaa luottamuksellisia tietoja.
  • Petollisten binaarien lataaminen ja suorittaminen : Laajennus on yhdistetty rikollisten hallitsemaan palvelimeen, jotta se voi ladata ja suorittaa lisää vaarallisia hyötykuormia, mukaan lukien PowerShell-skripti ja pahamaineinen DarkGate- haittaohjelma.

Laajennuksen asennusohjelma allekirjoitettiin puolalaiselle yritykselle myönnetyllä laillisella sertifikaatilla, joka lainasi sille aitouden viilun, joka todennäköisesti auttoi ohittamaan turvatoimenpiteet. Sekä laajennuksen Windows- että Linux-versiot osoittivat samanlaista haitallista toimintaa, mikä osoitti tämän hyökkäyksen aiheuttaman alustojen välisen uhan.

Laajemmat vaikutukset

Lisätutkimukset paljastivat, että vaarallisia hyötykuormia isännöivä sivusto naamioitui lailliseksi laajennusvarastoksi. Se tarjosi myös muita suosittuja laajennuksia, kuten OMEMO, Pidgin Paranoia ja Window Merge, jotka olisi voitu vaarantua. Lisäksi sama takaovi, joka löytyi ScreenShare-OTR-laajennuksesta, löydettiin Cradlesta, sovelluksesta, joka laskutti itsensä "rikosteknisen viestintäohjelmiston vastaiseksi".

Kehto: Oletettu signaalihaarukka

Cradle muodostaa kavalamman riskin, koska se liittyy Signaliin, joka on yksi luotettavimmista suojatuista viestintäsovelluksista. Vaikka Cradle on Signalin avoimen lähdekoodin haarukka, se ei ole Signal Foundationin sponsoroima tai sidoksissa siihen. Tästä huolimatta se onnistui vakuuttamaan käyttäjät sen legitimiteetistä, osittain siksi, että sen haarukkalähdekoodi oli osittain saatavilla GitHubissa.

Tarkempi tarkastus kuitenkin paljasti, että Cradle rakennettiin käyttämällä eri koodia kuin mitä oli saatavilla julkisesti. Sovellus oli upotettu samalla haitallisella koodilla kuin ScreenShare-OTR-laajennus, joka pystyi lataamaan skriptejä, jotka ottivat käyttöön DarkGate-haittaohjelman. Tämän haittaohjelman esiintyminen sekä Cradlen Windows- että Linux-versioissa korosti entisestään näiden hyökkäysten aiheuttamia eri alustojen riskejä.

DarkGate: jatkuva ja kehittyvä uhka

DarkGate ei ole uusi pelaaja haittaohjelmien ekosysteemissä. Se dokumentoitiin ensimmäisen kerran vuonna 2018, ja siitä on kehittynyt kehittynyt Malware-as-a-Service (MaaS) -alusta. DarkGate tarjoaa laajan valikoiman ominaisuuksia, mukaan lukien:

  • Hidden Virtual Network Computing (hVNC)
  • Koodin etäsuoritus
  • Kryptomointi
  • Käänteinen Shell Access

Haittaohjelma toimii tiukasti kontrolloidussa jakelumallissa, joka on vain valitun asiakasryhmän saatavilla. Suhteellisen lepotilan jakson jälkeen DarkGate nousi jälleen kovasti syyskuussa 2023 Qakbotin infrastruktuurin hajoamisen ja purkamisen jälkeen. Tämä elpyminen tapahtui samaan aikaan useiden korkean profiilin haittaohjelmakampanjoiden kanssa, mikä osoitti, että DarkGatesta oli tullut suosittu työkalu kyberrikollisten keskuudessa.

DarkGate-haittaohjelma: infektiovektorit ja globaali vaikutus

DarkGaten elpymistä on leimannut sen laaja levinneisyys eri vektoreihin. Elokuusta 2023 lähtien kyberturvallisuustutkijat ovat havainneet lukuisia kampanjoita, joissa on hyödynnetty erilaisia menetelmiä uhrien tartuttamiseksi DarkGatella:

  • Teams Chatit : Uhrit huijattiin lataamaan DarkGate-asennusohjelma Microsoft Teamsin kautta lähetettyjen linkkien kautta.
  • Sähköpostiliitteet : Cabinet (.cab) -arkistoja sisältäviä sähköposteja käytettiin houkuttelemaan uhreja lataamaan ja suorittamaan vaarallista sisältöä.
  • DLL-sivulataus : Laillisia ohjelmia käytettiin DarkGate-sivulataukseen dynaamisten linkkikirjastojen (DLL) kautta.
  • Vioittuneet PDF-tiedostot : DarkGate-sovelluksen käyttöönottoon käytettiin PDF-liitteitä, joissa oli linkkejä ZIP-arkistoon, joka sisälsi Windowsin pikakuvaketiedostoja (.lnk).
  • Java-arkistotiedostot (.jar) : Haavoittuvat isännät ovat saaneet tartunnan Java-arkistotiedostojen kautta.
  • HTML-tiedostot: Käyttäjiä huijattiin kopioimaan ja liittämään haitallisia skriptejä HTML-tiedostoista Windowsin suorituspalkkiin.
  • Vilpilliset mainokset : Mainoksiin perustuvissa kampanjoissa jaettiin DarkGate-haittaohjelmia pahaa aavistamattomille käyttäjille.
  • Avoimet Samba-tiedostoosuudet: Palvelimia, joissa oli avoimia Samba-tiedostoosuuksia, käytettiin isännöimään tiedostoja DarkGate-infektioiden varalta.

Maailmanlaajuinen kattavuus ja vaikutus

Näitä kampanjoita ei ole rajoitettu tietylle alueelle. DarkGate-infektioita on raportoitu Pohjois-Amerikassa, Euroopassa ja merkittävissä osissa Aasiaa. Haittaohjelman kyky mukautua erilaisiin toimitusmekanismeihin ja sen kehittyneet evaasiotekniikat ovat tehneet siitä valtavan vihollisen kyberturvallisuuden ammattilaisille maailmanlaajuisesti.

Tammikuussa 2024 DarkGate julkaisi kuudennen suuren versionsa, ja paljastamaton näyte tunnistettiin versioksi 6.1.6. Tämä jatkuva kehittäminen ja tarkentaminen korostaa uhan jatkuvuutta ja valppauden merkitystä tällaisten hyökkäysten havaitsemisessa ja lieventämisessä.

Johtopäätös: Puolustuksen vahvistaminen kehittyviä uhkia vastaan

Viimeaikaiset Pidgin- ja Cradle-käyttäjille kohdistetut haittaohjelmakampanjat korostavat kyberrikollisten käyttämiä kehittyviä taktiikoita. Näennäisesti oikeutettujen sovellusten ja laajennusten käyttö vektoreina kehittyneiden haittaohjelmien, kuten DarkGate, toimittamiseen korostaa vahvojen kyberturvallisuustoimenpiteiden tarvetta. Käyttäjien on oltava varovaisia lataaessaan kolmannen osapuolen laajennuksia tai sovelluksia, jopa näennäisesti hyvämaineisista lähteistä. Sillä välin kehittäjien ja tietoturva-ammattilaisten on tehtävä yhteistyötä vahvistaakseen ohjelmistoekosysteemien turvallisuutta ja varmistettava, että tällaiset uhat tunnistetaan ja neutraloidaan ennen kuin ne voivat aiheuttaa laajaa haittaa.

Aikana, jolloin digitaaliset viestintävälineet ovat kaikkialla, panokset eivät ole koskaan olleet suuremmat. Samalla kun uhkatekijät jatkavat innovointia, niin myös puolustuksemme on tehtävä. Taistelu DarkGaten kaltaisia haittaohjelmia vastaan jatkuu, mutta asteittain kasvavalla tietoisuudella ja ennakoivilla tavoilla voimme pysyä askeleen edellä hyökkääjiä.

Trendaavat

Eniten katsottu

"Geek Squad" -sähköpostihuijaus

Tietojenkalastelu, Roskaposti
37,953
Geek Squad, suosittu teknisen tuen tarjoaja, on joutunut tietojenkalasteluhuijauksen uhriksi nimeltä Geek Squad Email Scam. Tämä teknisen tuen huijaus käyttää väärennettyjä sähköposteja, jotka huijaavat ihmisiä antamaan henkilökohtaisia tietojaan, kuten luottokorttitietoja, sähköpostiosoitteita ja jopa sosiaaliturvatunnuksia. Tässä artikkelissa keskustelemme itse huijauksesta, miltä se näyttää,...
Ladataan...