Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Rosszindulatú Pidgin beépülő modul

Rosszindulatú Pidgin beépülő modul

Mezo -ra Malware-ben
Fordítás ide:
Magyar

A digitális környezet folyamatosan fejlődik, az azonnali üzenetküldő alkalmazások a személyes és szakmai kommunikáció szerves részévé válnak. Ezek a platformok azonban a fenyegetés szereplőinek elsődleges célpontjaivá is váltak. A közelmúlt kiberbiztonsági incidensei rávilágítottak a széles körben használt üzenetküldő alkalmazásokra leselkedő veszélyekre, a kifinomult rosszindulatú kampányok pedig a gyanútlan felhasználókat célozzák meg. Ez a cikk e fenyegetések térnyerését tárja fel, két jelentős esetre összpontosítva: a fenyegető Pidgin beépülő modulra és a Signal alkalmazás egy kompromittált forkjára.

A Pidgin beépülő modul beszivárgása

2024. augusztus 22-én a Pidgin, egy népszerű nyílt forráskódú üzenetküldő alkalmazás felfedte, hogy a ScreenShare-OTR (ss-otr) nevű sérült bővítmény beszivárgott a hivatalos harmadik féltől származó beépülő modulok listájára. A beépülő modulról, amelyet az Off-the-Record (OTR) üzenetküldési protokollon keresztüli képernyőmegosztás eszközeként forgalmaztak, aljas kódot tartalmazott. Kezdetben észrevétlen maradt a forráskód hiánya és csak a bináris fájlok letöltése miatt – ez a kritikus hiba, amely lehetővé tette a fenyegetés észrevétlen terjedését.

Fenyegető képességek feltárása

A kiberbiztonsági kutatók alapos elemzése feltárta a ScreenShare-OTR bővítmény valódi természetét. A vizsgálat feltárta, hogy a beépülő modult több rosszindulatú tevékenység végrehajtására tervezték:

  • Billentyűnaplózás : A beépülő modul naplózhatja a billentyűleütéseket, érzékeny információkat, például jelszavakat és privát üzeneteket rögzítve.
  • Képernyőkép megosztása : A beépülő modul képernyőképeket készített, és elküldte azokat üzemeltetőinek, amivel potenciálisan bizalmas információkat fedhet fel.
  • Csalárd bináris fájlok letöltése és végrehajtása : A beépülő modul egy bűnözők által ellenőrzött szerverhez csatlakozik, hogy további nem biztonságos rakományokat töltsön le és hajtson végre, beleértve a PowerShell-szkriptet és a hírhedt DarkGate kártevőt.

A beépülő modul telepítője egy lengyel cégnek kiadott jogos tanúsítvánnyal lett aláírva, amely hitelességet kölcsönzött neki, amely valószínűleg segített megkerülni a biztonsági intézkedéseket. A beépülő modul Windows- és Linux-verziója is hasonló rosszindulatú viselkedést mutatott, ami a támadás által jelentett, több platformon fenyegető veszélyt mutatja.

A tágabb következmények

A további vizsgálat feltárta, hogy a nem biztonságos rakományokat tároló webhely legitim beépülő modul-tárolónak álcázta magát. Más népszerű bővítményeket is kínált, mint például az OMEMO, a Pidgin Paranoia és a Window Merge, amelyek veszélybe kerülhettek. Ezenkívül a ScreenShare-OTR beépülő modulban található hátsó ajtót a Cradle-ben fedezték fel, egy olyan alkalmazásban, amely „törvényszéki üzenetküldő szoftvernek” nevezte magát.

Bölcső: Egy feltételezett jelvilla

A Cradle alattomosabb kockázatot jelent a Signalhoz, az egyik legmegbízhatóbb biztonságos üzenetküldő alkalmazáshoz való társítása miatt. Bár a Cradle a Signal nyílt forráskódú formája, nem szponzorálja a Signal Foundation, és nem is áll kapcsolatban vele. Ennek ellenére sikerült meggyőznie a felhasználókat a legitimációjáról, részben azért, mert az elágazott forráskód részben elérhető volt a GitHubon.

Egy alaposabb vizsgálat azonban feltárta, hogy a Cradle a nyilvánosan elérhető kódtól eltérő kóddal készült. Az alkalmazásba ugyanaz a rosszindulatú kód került bele, mint a ScreenShare-OTR beépülő modul, amely képes letölteni a DarkGate kártevőt telepítő szkripteket. Ennek a rosszindulatú programnak a jelenléte a Cradle Windows és Linux verzióiban is tovább hangsúlyozta a támadások platformokon átívelő kockázatait.

DarkGate: Állandó és folyamatosan fejlődő fenyegetés

A DarkGate nem új szereplő a kártevő-ökoszisztémában. Először 2018-ban dokumentálták, és kifinomult Malware-as-a-Service (MaaS) platformmá fejlődött. A DarkGate a lehetőségek széles skáláját kínálja, többek között:

  • Rejtett virtuális hálózati számítástechnika (hVNC)
  • Távoli kódvégrehajtás
  • Kriptobányászat
  • Reverse Shell Access

A rosszindulatú program szigorúan ellenőrzött terjesztési modell szerint működik, amely csak az ügyfelek meghatározott csoportja számára érhető el. Egy viszonylagos nyugalmi időszakot követően a DarkGate 2023 szeptemberében, a Qakbot infrastruktúra felbomlását és leépítését követően bosszút állva ismét felbukkant. Ez az újjáéledés egybeesett több nagy horderejű rosszindulatú programkampánnyal, jelezve, hogy a DarkGate a kiberbűnözők kedvelt eszközévé vált.

A DarkGate kártevő: fertőzési vektorok és globális hatás

A DarkGate újjáéledését a különböző vektorok közötti széles körű elterjedése jellemezte. 2023 augusztusa óta a kiberbiztonsági kutatók számos kampányt figyeltek meg, amelyek különböző módszereket alkalmaztak az áldozatok DarkGate-tel való megfertőzésére:

  • Csapatcsevegés : Az áldozatokat a Microsoft Teams-en keresztül küldött linkeken keresztül csalták rá a DarkGate telepítő letöltésére.
  • E-mail mellékletek : A kabinet (.cab) archívumot tartalmazó e-maileket arra használták, hogy az áldozatokat nem biztonságos tartalom letöltésére és végrehajtására csábítsák.
  • DLL oldalbetöltés : Legitim programokat használtak ki a DarkGate oldalbetöltésére dinamikus hivatkozási könyvtárakon (DLL-eken) keresztül.
  • Sérült PDF-ek : A DarkGate telepítéséhez a Windows parancsikon (.lnk) fájlokat tartalmazó ZIP-archívumokra mutató hivatkozásokat tartalmazó PDF-mellékleteket használtak.
  • Java archív (.jar) fájlok : A sebezhető gazdagépeket Java archív fájlok fertőzték meg.
  • HTML-fájlok: A felhasználókat megtévesztették azzal, hogy HTML-fájlokból rosszindulatú szkripteket másoltak és illesztettek be a Windows Futtatási sávjába.
  • Csalárd hirdetések : A hirdetés alapú kampányok DarkGate kártevőket terjesztettek a gyanútlan felhasználóknak.
  • Nyílt Samba fájlmegosztások: Nyílt Samba fájlmegosztásokat futtató kiszolgálókat használtak a DarkGate fertőzések fájlok tárolására.

Globális hatókör és hatás

Ezek a kampányok nem korlátozódnak egy adott régióra. A DarkGate fertőzéseket Észak-Amerikában, Európában és Ázsia jelentős részén jelentettek. A rosszindulatú program azon képessége, hogy alkalmazkodni tud a különböző kézbesítési mechanizmusokhoz és fejlett kijátszási technikái, óriási ellenféllé tették a kiberbiztonsági szakemberek számára világszerte.

2024 januárjában a DarkGate kiadta hatodik főverzióját, a feltáratlan mintát 6.1.6-os verzióként azonosították. Ez a folyamatos fejlesztés és finomítás hangsúlyozza a fenyegetés tartósságát és az éberség fontosságát az ilyen támadások észlelésében és mérséklésében.

Következtetés: A védekezés megerősítése a fejlődő fenyegetésekkel szemben

A közelmúltban a Pidgin és Cradle felhasználókat célzó rosszindulatú programkampányok rávilágítanak a kiberbűnözők által alkalmazott taktikák fejlődésére. A látszólag legitim alkalmazások és beépülő modulok használata olyan kifinomult rosszindulatú programok, mint a DarkGate, közvetítésére, aláhúzza a robusztus kiberbiztonsági intézkedések szükségességét. A felhasználóknak óvatosnak kell lenniük, amikor harmadik féltől származó beépülő modulokat vagy alkalmazásokat töltenek le, még a látszólag jó hírű forrásokból is. Eközben a fejlesztőknek és a biztonsági szakembereknek együtt kell működniük a szoftver-ökoszisztémák biztonságának megerősítésén, biztosítva, hogy az ilyen fenyegetéseket azonosítsák és semlegesítsék, mielőtt széles körű károkat okoznának.

Egy olyan korban, ahol a digitális kommunikációs eszközök mindenütt jelen vannak, a tét soha nem volt nagyobb. Ahogy a fenyegetés szereplői továbbra is újítanak, a mi védelmünknek is megújulnia kell. A DarkGate-hez hasonló rosszindulatú programok elleni küzdelem folyamatban van, de egyre nagyobb tudatossággal és proaktív szokásokkal egy lépéssel a támadók előtt járhatunk.

Felkapott

Legnézettebb

„Geek Squad” e-mail átverés

Adathalászat, Spam
37,953
A Geek Squad, egy népszerű technikai támogatási szolgáltató a Geek Squad Email Scam nevű adathalász csalás áldozata lett. Ez a technikai támogatási átverés hamis e-maileket használ, amelyek ráveszik az embereket személyes adataik megadására, például hitelkártyaadatokra, e-mail címekre, sőt társadalombiztosítási számokra is. Ebben a cikkben magáról a csalásról fogunk beszélni, hogyan néz ki,...

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Hamis figyelmeztető üzenetek
29,609
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...