פלאגין Pidgin זדוני

הנוף הדיגיטלי הולך ומתפתח, כאשר יישומי מסרים מיידיים הופכים חלק בלתי נפרד מתקשורת אישית ומקצועית. עם זאת, פלטפורמות אלה הפכו גם למטרות עיקריות עבור גורמי איומים. תקריות אבטחת סייבר אחרונות הדגישו את הסכנות האורבות ליישומי הודעות בשימוש נרחב, עם קמפיינים מתוחכמים של תוכנות זדוניות המכוונות למשתמשים תמימים. מאמר זה בוחן את עליית האיומים הללו, תוך התמקדות בשני מקרים משמעותיים: תוסף Pidgin המאיים ומזלג נפוץ של אפליקציית Signal.

חדירת תוסף Pidgin

ב-22 באוגוסט 2024, Pidgin, אפליקציית הודעות פופולרית בקוד פתוח, חשפה כי תוסף פגום בשם ScreenShare-OTR (ss-otr) חדר לרשימת התוספים הרשמית של צד שלישי. התוסף, ששווק ככלי לשיתוף מסך בפרוטוקול ההודעות Off-the-Record (OTR), נמצא כמכיל קוד מרושע. בתחילה, זה נעלם מעיניו בשל היעדר קוד מקור וזמינותם של קבצים בינאריים בלבד להורדה - פיקוח קריטי שאפשר לאיום להתפשט ללא זיהוי.

נחשפו יכולות מאיימות

ניתוח יסודי על ידי חוקרי אבטחת סייבר חשף את הטבע האמיתי של התוסף ScreenShare-OTR. החקירה העלתה כי התוסף תוכנן לבצע מספר פעילויות זדוניות:

• רישום מקשים : התוסף יכול לרשום הקשות, וללכוד מידע רגיש כמו סיסמאות והודעות פרטיות.
• שיתוף צילומי מסך : התוסף צילם צילומי מסך ושלח אותם למפעיליו, מה שעלול לחשוף מידע סודי.
• הורדה וביצוע בינאריים הונאה : התוסף מחובר לשרת הנשלט על ידי פלילי כדי להוריד ולבצע מטענים לא בטוחים נוספים, כולל סקריפט PowerShell והתוכנה הזדונית DarkGate הידועה לשמצה.

המתקין של התוסף נחתם עם אישור לגיטימי שהונפק לחברה פולנית, מה שהעניק לו פורניר של אותנטיות שכנראה סייע לעקוף אמצעי אבטחה. שני גרסאות Windows ו-Linux של התוסף הפגינו התנהגות זדונית דומה, והדגימה את האיום חוצה הפלטפורמות הנשקף מהתקפה זו.

ההשלכות הרחבות יותר

חקירה נוספת העלתה שהאתר המארח את המטענים הלא בטוחים התחזה למאגר תוספים לגיטימי. הוא גם הציע תוספים פופולריים אחרים כמו OMEMO, Pidgin Paranoia ו-Window Merge, שעלולים היו להיפגע. יתרה מכך, אותה דלת אחורית שנמצאה בתוסף ScreenShare-OTR התגלתה ב-Cradle, אפליקציה שחשבה את עצמה בתור 'תוכנת הודעות אנטי-פורנזיות'.

עריסה: מזלג אות כביכול

עריסה מציגה סיכון ערמומי יותר בשל הקשר שלו עם Signal, אחד מיישומי העברת ההודעות המאובטחים המהימנים ביותר. למרות ש-Caddle הוא מזלג קוד פתוח של Signal, הוא אינו ממומן על ידי או מזוהה עם קרן Signal. למרות זאת, הוא הצליח לשכנע את המשתמשים בלגיטימיות שלו, בין היתר בגלל שקוד המקור המפוצל שלו היה זמין חלקית ב-GitHub.

עם זאת, בדיקה מעמיקה יותר גילתה כי Cradle נבנה באמצעות קוד שונה מזה שהיה זמין בפומבי. האפליקציה הוטבעה עם אותו קוד זדוני כמו התוסף ScreenShare-OTR, המסוגל להוריד סקריפטים שפרסו את התוכנה הזדונית DarkGate. הנוכחות של תוכנה זדונית זו בגרסת Windows ו-Linux של Cradle הדגישה עוד יותר את הסיכונים בין הפלטפורמות הנובעות מהתקפות אלו.

DarkGate: איום מתמשך ומתפתח

DarkGate אינו שחקן חדש במערכת האקולוגית של תוכנות זדוניות. תועד לראשונה בשנת 2018, הוא התפתח לפלטפורמה מתוחכמת של Malware-as-a-Service (MaaS). DarkGate מציע מגוון רחב של יכולות, כולל:

• מחשוב רשת וירטואלית נסתרת (hVNC)
• ביצוע קוד מרחוק
• קריפטומינציה
• גישת מעטפת הפוכה

התוכנה הזדונית פועלת תחת מודל הפצה מבוקר קפדני, זמין רק לקבוצה נבחרת של לקוחות. לאחר תקופה של תרדמה יחסית, DarkGate הופיע מחדש בנקמה בספטמבר 2023 בעקבות השיבוש וההסרה של תשתית הקבוט . התעוררות זו עלתה בקנה אחד עם מספר קמפיינים של תוכנות זדוניות בעלות פרופיל גבוה, מה שמצביע על כך ש-DarkGate הפכה לכלי מועדף בקרב פושעי סייבר.

תוכנת ה-DarkGate Malware: וקטורי זיהום והשפעה גלובלית

תחייתו המחודשת של DarkGate סומנה על ידי התפוצה הנרחבת שלו על פני וקטורים שונים. מאז אוגוסט 2023, חוקרי אבטחת סייבר צפו בקמפיינים רבים הממנפים שיטות שונות להדבקת קורבנות ב-DarkGate:

• צ'אטים של צוותים : הקורבנות הוטעו להוריד את תוכנית ההתקנה של DarkGate באמצעות קישורים שנשלחו דרך Microsoft Teams.
• קבצים מצורפים לדוא"ל : הודעות דוא"ל המכילות ארכיונים של ארון (.cab) שימשו כדי לפתות קורבנות להוריד ולהוציא תוכן לא בטוח.

טווח הגעה והשפעה גלובליים

מסעות פרסום אלה לא הוגבלו לאזור מסוים. זיהומי DarkGate דווחו ברחבי צפון אמריקה, אירופה וחלקים משמעותיים של אסיה. היכולת של התוכנה הזדונית להסתגל למנגנוני מסירה שונים וטכניקות ההתחמקות המתקדמות שלה הפכו אותה ליריב אדיר עבור אנשי אבטחת סייבר ברחבי העולם.

בינואר 2024, DarkGate הוציאה את הגרסה העיקרית השישית שלה, כשהדוגמה החשופה זוהתה כגרסה 6.1.6. פיתוח ושכלול מתמשכים אלה מדגישים את התמדה של האיום ואת חשיבותה של ערנות באיתור והפחתה של התקפות כאלה.

מסקנה: חיזוק ההגנות מפני איומים מתפתחים

מסעות הפרסום האחרונים של תוכנות זדוניות המכוונות למשתמשי Pidgin ו-Cradle מדגישים את הטקטיקות המתפתחות של פושעי סייבר. השימוש ביישומים ובפלאגינים לגיטימיים לכאורה בתור וקטורים לאספקת תוכנות זדוניות מתוחכמות כמו DarkGate מדגיש את הצורך באמצעי אבטחת סייבר חזקים. על המשתמשים לנקוט משנה זהירות בעת הורדת תוספים או יישומים של צד שלישי, אפילו ממקורות בעלי מוניטין לכאורה. בינתיים, מפתחים ואנשי אבטחה חייבים לעבוד יחד כדי לחזק את האבטחה של מערכות אקולוגיות של תוכנה, להבטיח שאיומים כאלה מזוהים ומנטרלים לפני שהם יכולים לגרום לנזק נרחב.

בעידן שבו כלי תקשורת דיגיטליים נמצאים בכל מקום, ההימור מעולם לא היה גבוה יותר. ככל שגורמי האיום ממשיכים לחדש, כך גם ההגנות שלנו חייבות. הקרב נגד תוכנות זדוניות כמו DarkGate נמשך, אבל עם מודעות והרגלים פרואקטיביים יותר ויותר, אנחנו יכולים להישאר צעד אחד לפני התוקפים.