Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni Pidgin dodatak

Zlonamjerni Pidgin dodatak

Do Mezo. Malware. godine
Prevedi na:
Hrvatski

Digitalni krajolik neprestano se razvija, a aplikacije za izravnu razmjenu poruka postaju sastavni dio osobne i profesionalne komunikacije. Međutim, te su platforme također postale glavne mete aktera prijetnji. Nedavni incidenti vezani uz kibernetičku sigurnost istaknuli su opasnosti koje vrebaju u široko korištenim aplikacijama za razmjenu poruka, sa sofisticiranim kampanjama zlonamjernog softvera koje ciljaju na korisnike koji ništa ne sumnjaju. Ovaj članak istražuje porast ovih prijetnji, fokusirajući se na dva značajna slučaja: prijeteći dodatak Pidgin i kompromitirano račvanje aplikacije Signal.

Infiltracija dodatka Pidgin

Dana 22. kolovoza 2024. Pidgin, popularna aplikacija za razmjenu poruka otvorenog koda, otkrila je da se oštećeni dodatak pod nazivom ScreenShare-OTR (ss-otr) infiltrirao na službeni popis dodataka treće strane. Utvrđeno je da dodatak, koji se reklamirao kao alat za dijeljenje zaslona putem protokola za razmjenu poruka izvan evidencije (OTR), sadrži opaki kod. U početku je prošao nezapaženo zbog nepostojanja izvornog koda i dostupnosti samo binarnih datoteka za preuzimanje - kritični propust koji je omogućio da se prijetnja širi neotkriveno.

Otkrivene prijeteće sposobnosti

Temeljita analiza istraživača kibernetičke sigurnosti otkrila je pravu prirodu dodatka ScreenShare-OTR. Istraga je otkrila da je dodatak dizajniran za izvođenje nekoliko zlonamjernih aktivnosti:

  • Keylogging : Dodatak bi mogao bilježiti pritiske tipki, hvatajući osjetljive podatke kao što su lozinke i privatne poruke.
  • Dijeljenje snimaka zaslona : dodatak je napravio snimke zaslona i poslao ih svojim operaterima, potencijalno izlažući povjerljive informacije.
  • Preuzimanje i izvođenje lažnih binarnih datoteka : dodatak je povezan s poslužiteljem pod kontrolom kriminalaca za preuzimanje i izvođenje daljnjih nesigurnih korisnih sadržaja, uključujući skriptu PowerShell i ozloglašeni zlonamjerni softver DarkGate .

Program za instalaciju dodatka potpisan je legitimnim certifikatom izdanim poljskoj tvrtki, dajući mu izgled autentičnosti koji je vjerojatno pomogao zaobići sigurnosne mjere. I Windows i Linux verzije dodatka pokazale su slično zlonamjerno ponašanje, pokazujući prijetnju više platformi koju predstavlja ovaj napad.

Šire implikacije

Daljnja istraga otkrila je da se web mjesto na kojem se nalaze nesigurni korisni učinci maskiralo kao legitimno spremište dodataka. Također je nudio druge popularne dodatke kao što su OMEMO, Pidgin Paranoia i Window Merge, koji su mogli biti ugroženi. Štoviše, ista stražnja vrata pronađena u dodatku ScreenShare-OTR otkrivena su u Cradleu, aplikaciji koja se predstavljala kao 'anti-forenzički softver za razmjenu poruka'.

Kolijevka: Navodna signalna vilica

Cradle predstavlja podmukliji rizik zbog svoje povezanosti sa Signalom, jednom od najpouzdanijih aplikacija za sigurnu razmjenu poruka. Iako je Cradle open-source fork Signala, niti ga sponzorira niti je povezan s Signal Foundationom. Unatoč tome, uspio je uvjeriti korisnike u svoju legitimnost, dijelom zato što je njegov račvani izvorni kod bio djelomično dostupan na GitHubu.

Međutim, dublja inspekcija otkrila je da je Cradle napravljen korištenjem drugačijeg koda od onog koji je javno dostupan. Aplikacija je bila ugrađena s istim zlonamjernim kodom kao dodatak ScreenShare-OTR, koji je mogao preuzimati skripte koje su implementirale zlonamjerni softver DarkGate. Prisutnost ovog zlonamjernog softvera u verzijama Cradlea za Windows i Linux dodatno je naglasila rizike među platformama koje ti napadi predstavljaju.

DarkGate: Trajna prijetnja koja se razvija

DarkGate nije novi igrač u ekosustavu zlonamjernog softvera. Prvi put dokumentiran 2018., razvio se u sofisticiranu platformu Malware-as-a-Service (MaaS). DarkGate nudi širok raspon mogućnosti, uključujući:

  • Računalstvo skrivene virtualne mreže (hVNC)
  • Udaljeno izvršavanje koda
  • Kriptorudarenje
  • Obrnuti pristup ljusci

Zlonamjerni softver djeluje pod strogo kontroliranim distribucijskim modelom, dostupnim samo odabranoj skupini kupaca. Nakon razdoblja relativnog mirovanja, DarkGate se ponovno pojavio s osvetom u rujnu 2023. nakon prekida i rušenja infrastrukture Qakbota . Ovo ponovno oživljavanje poklopilo se s nekoliko visokoprofilnih kampanja zlonamjernog softvera, što ukazuje da je DarkGate postao omiljeni alat među kibernetičkim kriminalcima.

Zlonamjerni softver DarkGate: Vektori infekcije i globalni utjecaj

Ponovno oživljavanje DarkGate-a obilježeno je njegovom širokom distribucijom kroz različite vektore. Od kolovoza 2023. istraživači kibernetičke sigurnosti primijetili su brojne kampanje koje koriste različite metode za zarazu žrtava DarkGateom:

  • Timski razgovori : Žrtve su prevarene da preuzmu instalacijski program DarkGate putem poveznica koje su poslane putem Microsoft Teamsa.
  • Privici e-pošte : e-poruke koje sadrže cabinet (.cab) arhive korištene su za namamljivanje žrtava na preuzimanje i izvođenje nesigurnog sadržaja.
  • DLL bočno učitavanje : Legitimni programi iskorišteni su za bočno učitavanje DarkGate-a putem biblioteka dinamičkih veza (DLL).
  • Oštećeni PDF-ovi : PDF privici s vezama na ZIP arhive koje sadrže Windows datoteke prečaca (.lnk) korištene su za implementaciju DarkGate-a.
  • Java arhivske (.jar) datoteke : Ranjivi hostovi zaraženi su preko Java arhivskih datoteka.
  • HTML datoteke: Korisnici su bili prevareni da kopiraju i zalijepe zlonamjerne skripte iz HTML datoteka u Windows Run traku.
  • Prijevarne reklame : Kampanje temeljene na oglasima distribuirale su zlonamjerni softver DarkGate korisnicima koji ništa nisu sumnjali.
  • Otvorena dijeljenja datoteka Samba: poslužitelji s otvorenim dijeljenjem datoteka Samba korišteni su za hostiranje datoteka za DarkGate infekcije.

Globalni doseg i utjecaj

Ove kampanje nisu ograničene na određenu regiju. Infekcije DarkGateom prijavljene su diljem Sjeverne Amerike, Europe i značajnih dijelova Azije. Sposobnost zlonamjernog softvera da se prilagodi različitim mehanizmima isporuke i njegove napredne tehnike izbjegavanja učinile su ga strašnim protivnikom za stručnjake za kibernetičku sigurnost širom svijeta.

U siječnju 2024. DarkGate je objavio svoju šestu glavnu verziju, s nepokrivenim uzorkom identificiranim kao verzija 6.1.6. Ovaj kontinuirani razvoj i usavršavanje naglašava postojanost prijetnje i važnost opreza u otkrivanju i ublažavanju takvih napada.

Zaključak: Jačanje obrane od rastućih prijetnji

Nedavne kampanje zlonamjernog softvera usmjerene na korisnike Pidgina i Cradlea naglašavaju razvojne taktike koje koriste kibernetički kriminalci. Korištenje naizgled legitimnih aplikacija i dodataka kao vektora za isporuku sofisticiranog zlonamjernog softvera poput DarkGatea naglašava potrebu za snažnim mjerama kibernetičke sigurnosti. Korisnici moraju biti oprezni pri preuzimanju dodataka ili aplikacija trećih strana, čak i iz naizgled uglednih izvora. U međuvremenu, programeri i stručnjaci za sigurnost moraju raditi zajedno na jačanju sigurnosti softverskih ekosustava, osiguravajući da se takve prijetnje identificiraju i neutraliziraju prije nego što mogu prouzročiti veliku štetu.

U doba u kojem su digitalni komunikacijski alati sveprisutni, ulozi nikad nisu bili veći. Kako prijetnje nastavljaju s inovacijama, tako moraju i naše obrane. Bitka protiv zlonamjernog softvera kao što je DarkGate je u tijeku, ali uz postupno veću svijest i proaktivne navike, možemo ostati korak ispred napadača.

U trendu

Nagledanije

Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

Lažne poruke upozorenja
29,609
Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
Učitavam...