Malicious Pidgin Plugin

डिजिटल परिदृश्य लगातार विकसित हो रहा है, जिसमें इंस्टेंट मैसेजिंग एप्लिकेशन व्यक्तिगत और व्यावसायिक संचार का अभिन्न अंग बन रहे हैं। हालाँकि, ये प्लेटफ़ॉर्म ख़तरनाक अभिनेताओं के लिए प्रमुख लक्ष्य भी बन गए हैं। हाल ही में साइबर सुरक्षा की घटनाओं ने व्यापक रूप से उपयोग किए जाने वाले मैसेजिंग एप्लिकेशन में छिपे ख़तरों को उजागर किया है, जिसमें परिष्कृत मैलवेयर अभियान अनजान उपयोगकर्ताओं को लक्षित कर रहे हैं। यह लेख इन ख़तरों के बढ़ने का पता लगाता है, जिसमें दो महत्वपूर्ण मामलों पर ध्यान केंद्रित किया गया है: ख़तरनाक पिजिन प्लगइन और सिग्नल एप्लिकेशन का एक समझौता किया गया फ़ॉर्क।

पिजिन प्लगइन घुसपैठ

22 अगस्त, 2024 को, Pidgin, एक लोकप्रिय ओपन-सोर्स मैसेजिंग एप्लिकेशन ने खुलासा किया कि ScreenShare-OTR (ss-otr) नामक एक दूषित प्लगइन ने इसकी आधिकारिक थर्ड-पार्टी प्लगइन सूची में घुसपैठ की है। प्लगइन, जिसे ऑफ-द-रिकॉर्ड (OTR) मैसेजिंग प्रोटोकॉल पर स्क्रीन शेयरिंग के लिए एक उपकरण के रूप में विपणन किया गया था, में खतरनाक कोड पाया गया। शुरुआत में, स्रोत कोड की अनुपस्थिति और डाउनलोड के लिए केवल बाइनरी फ़ाइलों की उपलब्धता के कारण यह किसी का ध्यान नहीं गया - एक महत्वपूर्ण चूक जिसने खतरे को बिना पहचाने फैलने दिया।

ख़तरनाक क्षमताएँ उजागर

साइबर सुरक्षा शोधकर्ताओं द्वारा किए गए गहन विश्लेषण से स्क्रीनशेयर-ओटीआर प्लगइन की वास्तविक प्रकृति का पता चला। जांच से पता चला कि प्लगइन को कई दुर्भावनापूर्ण गतिविधियों को अंजाम देने के लिए डिज़ाइन किया गया था:

• कीलॉगिंग : यह प्लगइन कीस्ट्रोक्स को लॉग कर सकता है, तथा पासवर्ड और निजी संदेश जैसी संवेदनशील जानकारी को कैप्चर कर सकता है।
• स्क्रीनशॉट साझा करना : प्लगइन ने स्क्रीनशॉट लिया और उन्हें अपने ऑपरेटरों को भेज दिया, जिससे गोपनीय जानकारी उजागर होने की संभावना थी।
• धोखाधड़ी वाले बाइनरीज़ को डाउनलोड करना और निष्पादित करना : प्लगइन एक अपराधी-नियंत्रित सर्वर से जुड़ा होता है, ताकि पॉवरशेल स्क्रिप्ट और कुख्यात डार्कगेट मैलवेयर सहित अन्य असुरक्षित पेलोड को डाउनलोड और निष्पादित किया जा सके।

प्लगइन के इंस्टॉलर पर पोलिश कंपनी को जारी वैध प्रमाणपत्र के साथ हस्ताक्षर किए गए थे, जिससे इसे प्रामाणिकता का आवरण मिला, जिससे संभवतः सुरक्षा उपायों को दरकिनार करने में मदद मिली। प्लगइन के विंडोज और लिनक्स दोनों संस्करणों ने समान दुर्भावनापूर्ण व्यवहार प्रदर्शित किया, जो इस हमले द्वारा उत्पन्न क्रॉस-प्लेटफ़ॉर्म खतरे को दर्शाता है।

व्यापक निहितार्थ

आगे की जांच से पता चला कि असुरक्षित पेलोड को होस्ट करने वाली साइट एक वैध प्लगइन रिपोजिटरी के रूप में सामने आई थी। इसने OMEMO, Pidgin Paranoia और Window Merge जैसे अन्य लोकप्रिय प्लगइन भी पेश किए, जिनके साथ समझौता किया जा सकता था। इसके अलावा, ScreenShare-OTR प्लगइन में पाया गया वही बैकडोर Cradle में पाया गया, एक ऐसा एप्लिकेशन जिसने खुद को 'एंटी-फोरेंसिक मैसेजिंग सॉफ़्टवेयर' के रूप में पेश किया।

क्रैडल: एक कथित सिग्नल फोर्क

क्रेडल सिग्नल के साथ अपने जुड़ाव के कारण अधिक खतरनाक जोखिम प्रस्तुत करता है, जो सबसे भरोसेमंद सुरक्षित मैसेजिंग एप्लिकेशन में से एक है। हालाँकि क्रेडल सिग्नल का एक ओपन-सोर्स फोर्क है, लेकिन यह न तो सिग्नल फाउंडेशन द्वारा प्रायोजित है और न ही इससे संबद्ध है। इसके बावजूद, यह उपयोगकर्ताओं को अपनी वैधता के बारे में समझाने में कामयाब रहा, आंशिक रूप से इसलिए क्योंकि इसका फोर्क किया गया स्रोत कोड आंशिक रूप से GitHub पर उपलब्ध था।

हालाँकि, गहन जाँच से पता चला कि क्रेडल को सार्वजनिक रूप से उपलब्ध कोड से अलग कोड का उपयोग करके बनाया गया था। इस एप्लिकेशन में स्क्रीनशेयर-ओटीआर प्लगइन के समान ही दुर्भावनापूर्ण कोड एम्बेड किया गया था, जो डार्कगेट मैलवेयर को तैनात करने वाली स्क्रिप्ट डाउनलोड करने में सक्षम था। क्रेडल के विंडोज और लिनक्स दोनों संस्करणों में इस मैलवेयर की मौजूदगी ने इन हमलों से उत्पन्न क्रॉस-प्लेटफ़ॉर्म जोखिमों को और भी रेखांकित किया।

डार्कगेट: एक सतत और विकसित होता खतरा

डार्कगेट मैलवेयर इकोसिस्टम में कोई नया खिलाड़ी नहीं है। 2018 में पहली बार प्रलेखित, यह एक परिष्कृत मैलवेयर-एज़-ए-सर्विस (MaaS) प्लेटफ़ॉर्म के रूप में विकसित हुआ है। डार्कगेट कई तरह की क्षमताएँ प्रदान करता है, जिनमें शामिल हैं:

• हिडन वर्चुअल नेटवर्क कंप्यूटिंग (hVNC)
• रिमोट कोड निष्पादन
• क्रिप्टोमाइनिंग
• रिवर्स शेल एक्सेस

मैलवेयर एक कड़े नियंत्रित वितरण मॉडल के तहत काम करता है, जो केवल चुनिंदा ग्राहकों के समूह के लिए उपलब्ध है। सापेक्ष निष्क्रियता की अवधि के बाद, डार्कगेट सितंबर 2023 में ककबॉट इंफ्रास्ट्रक्चर के विघटन और निष्कासन के बाद प्रतिशोध के साथ फिर से उभरा। यह पुनरुत्थान कई हाई-प्रोफाइल मैलवेयर अभियानों के साथ हुआ, जो दर्शाता है कि डार्कगेट साइबर अपराधियों के बीच एक पसंदीदा उपकरण बन गया था।

डार्कगेट मैलवेयर: संक्रमण वेक्टर और वैश्विक प्रभाव

डार्कगेट के फिर से उभरने की वजह यह है कि यह विभिन्न क्षेत्रों में व्यापक रूप से फैल रहा है। अगस्त 2023 से, साइबर सुरक्षा शोधकर्ताओं ने डार्कगेट से पीड़ितों को संक्रमित करने के लिए विभिन्न तरीकों का लाभ उठाने वाले कई अभियान देखे हैं:

• टीम्स चैट : पीड़ितों को माइक्रोसॉफ्ट टीम्स के माध्यम से भेजे गए लिंक के माध्यम से डार्कगेट इंस्टॉलर डाउनलोड करने के लिए प्रेरित किया गया।
• ईमेल संलग्नक : कैबिनेट (.cab) अभिलेखों वाले ईमेल का उपयोग पीड़ितों को असुरक्षित सामग्री डाउनलोड करने और उसे क्रियान्वित करने के लिए लुभाने के लिए किया जाता था।
• डीएलएल साइडलोडिंग : डायनेमिक लिंक लाइब्रेरीज़ (डीएलएल) के माध्यम से डार्कगेट को साइडलोड करने के लिए वैध प्रोग्रामों का शोषण किया गया।

• दूषित PDF : Windows शॉर्टकट (.lnk) फ़ाइलों वाले ZIP अभिलेखागार के लिंक वाले PDF अनुलग्नकों का उपयोग डार्कगेट को तैनात करने के लिए किया गया था।

• जावा आर्काइव (.jar) फ़ाइलें : कमजोर होस्ट्स को जावा आर्काइव फ़ाइलों के माध्यम से संक्रमित किया गया।

• HTML फ़ाइलें: उपयोगकर्ताओं को धोखा देकर HTML फ़ाइलों से दुर्भावनापूर्ण स्क्रिप्ट को कॉपी करके विंडोज रन बार में पेस्ट कर दिया जाता था।

• धोखाधड़ी वाले विज्ञापन : विज्ञापन-आधारित अभियानों ने अनजान उपयोगकर्ताओं को डार्कगेट मैलवेयर वितरित किया।

• ओपन सांबा फ़ाइल शेयर्स: ओपन सांबा फ़ाइल शेयर्स चलाने वाले सर्वरों का उपयोग डार्कगेट संक्रमणों के लिए फ़ाइलों को होस्ट करने के लिए किया गया था।

वैश्विक पहुंच और प्रभाव

ये अभियान किसी खास क्षेत्र तक सीमित नहीं रहे हैं। डार्कगेट संक्रमण उत्तरी अमेरिका, यूरोप और एशिया के महत्वपूर्ण हिस्सों में रिपोर्ट किए गए हैं। मैलवेयर की अलग-अलग डिलीवरी तंत्रों के अनुकूल होने की क्षमता और इसकी उन्नत बचाव तकनीकों ने इसे दुनिया भर के साइबर सुरक्षा पेशेवरों के लिए एक दुर्जेय प्रतिद्वंद्वी बना दिया है।

जनवरी 2024 में, डार्कगेट ने अपना छठा प्रमुख संस्करण जारी किया, जिसमें खुला नमूना संस्करण 6.1.6 के रूप में पहचाना गया। यह निरंतर विकास और परिशोधन खतरे की निरंतरता और ऐसे हमलों का पता लगाने और उन्हें कम करने में सतर्कता के महत्व को रेखांकित करता है।

निष्कर्ष: उभरते खतरों के खिलाफ़ सुरक्षा को मजबूत करना

पिजिन और क्रैडल उपयोगकर्ताओं को लक्षित करने वाले हाल के मैलवेयर अभियान साइबर अपराधियों द्वारा अपनाई जाने वाली विकसित रणनीति को उजागर करते हैं। डार्कगेट जैसे परिष्कृत मैलवेयर को वितरित करने के लिए वेक्टर के रूप में प्रतीत होने वाले वैध अनुप्रयोगों और प्लगइन्स का उपयोग मजबूत साइबर सुरक्षा उपायों की आवश्यकता को रेखांकित करता है। उपयोगकर्ताओं को तीसरे पक्ष के प्लगइन या एप्लिकेशन डाउनलोड करते समय सावधानी बरतनी चाहिए, भले ही वे प्रतिष्ठित स्रोतों से हों। इस बीच, डेवलपर्स और सुरक्षा पेशेवरों को सॉफ़्टवेयर पारिस्थितिकी तंत्र की सुरक्षा को मजबूत करने के लिए मिलकर काम करना चाहिए, यह सुनिश्चित करना चाहिए कि ऐसे खतरों की पहचान की जाए और उन्हें व्यापक नुकसान पहुंचाने से पहले बेअसर कर दिया जाए।

ऐसे युग में जब डिजिटल संचार उपकरण सर्वव्यापी हैं, दांव कभी भी अधिक नहीं रहे हैं। जैसे-जैसे खतरा पैदा करने वाले लोग नए-नए आविष्कार करते रहते हैं, वैसे-वैसे हमारे बचाव भी नए-नए आविष्कार करने चाहिए। डार्कगेट जैसे मैलवेयर के खिलाफ़ लड़ाई जारी है, लेकिन उत्तरोत्तर बढ़ती जागरूकता और सक्रिय आदतों के साथ, हम हमलावरों से एक कदम आगे रह सकते हैं।