Plugin Pidgin dannoso

Il panorama digitale è in continua evoluzione, con le applicazioni di messaggistica istantanea che stanno diventando parte integrante della comunicazione personale e professionale. Tuttavia, queste piattaforme sono anche diventate obiettivi primari per gli attori delle minacce. I recenti incidenti di sicurezza informatica hanno evidenziato i pericoli in agguato nelle applicazioni di messaggistica ampiamente utilizzate, con sofisticate campagne di malware che prendono di mira utenti ignari. Questo articolo esplora l'ascesa di queste minacce, concentrandosi su due casi significativi: il minaccioso plugin Pidgin e un fork compromesso dell'applicazione Signal.

L’infiltrazione del plugin Pidgin

Il 22 agosto 2024, Pidgin, una popolare applicazione di messaggistica open source, ha rivelato che un plugin corrotto denominato ScreenShare-OTR (ss-otr) si era infiltrato nel suo elenco ufficiale di plugin di terze parti. Il plugin, che era stato commercializzato come uno strumento per la condivisione dello schermo tramite il protocollo di messaggistica Off-the-Record (OTR), conteneva codice nefasto. Inizialmente, è passato inosservato a causa dell'assenza di codice sorgente e della disponibilità di soli file binari per il download, una svista critica che ha consentito alla minaccia di diffondersi inosservata.

Capacità minacciose scoperte

Un'analisi approfondita da parte dei ricercatori di sicurezza informatica ha scoperto la vera natura del plugin ScreenShare-OTR. L'indagine ha rivelato che il plugin è stato progettato per eseguire diverse attività dannose:

• Keylogging : il plugin potrebbe registrare le sequenze di tasti premuti, catturando informazioni sensibili come password e messaggi privati.
• Condivisione degli screenshot : il plugin acquisisce degli screenshot e li invia ai suoi operatori, esponendo potenzialmente informazioni riservate.
• Download ed esecuzione di file binari fraudolenti : il plug-in è connesso a un server controllato dai criminali per scaricare ed eseguire ulteriori payload non sicuri, tra cui uno script PowerShell e il famigerato malware DarkGate .

L'installer del plugin è stato firmato con un certificato legittimo rilasciato a una società polacca, conferendogli una parvenza di autenticità che probabilmente ha contribuito a bypassare le misure di sicurezza. Sia la versione Windows che quella Linux del plugin hanno mostrato un comportamento dannoso simile, dimostrando la minaccia multipiattaforma posta da questo attacco.

Le implicazioni più ampie

Ulteriori indagini hanno rivelato che il sito che ospitava i payload non sicuri si mascherava da repository di plugin legittimo. Offriva anche altri plugin popolari come OMEMO, Pidgin Paranoia e Window Merge, che avrebbero potuto essere compromessi. Inoltre, la stessa backdoor trovata nel plugin ScreenShare-OTR è stata scoperta in Cradle, un'applicazione che si autodefiniva "software di messaggistica anti-forense".

Culla: una presunta forcella di segnale

Cradle presenta un rischio più insidioso a causa della sua associazione con Signal, una delle applicazioni di messaggistica sicura più affidabili. Sebbene Cradle sia un fork open source di Signal, non è né sponsorizzato né affiliato alla Signal Foundation. Nonostante ciò, è riuscito a convincere gli utenti della sua legittimità, in parte perché il suo codice sorgente forkato era parzialmente disponibile su GitHub.

Tuttavia, un'ispezione più approfondita ha rivelato che Cradle è stato creato utilizzando un codice diverso da quello disponibile pubblicamente. L'applicazione era incorporata con lo stesso codice dannoso del plugin ScreenShare-OTR, in grado di scaricare script che distribuivano il malware DarkGate. La presenza di questo malware sia nella versione Windows che Linux di Cradle ha ulteriormente sottolineato i rischi multipiattaforma posti da questi attacchi.

DarkGate: una minaccia persistente e in continua evoluzione

DarkGate non è un nuovo player nell'ecosistema del malware. Documentato per la prima volta nel 2018, si è evoluto in una sofisticata piattaforma Malware-as-a-Service (MaaS). DarkGate offre un'ampia gamma di funzionalità, tra cui:

• Calcolo della rete virtuale nascosta (hVNC)
• Esecuzione di codice remoto
• Criptomining
• Accesso Shell inverso

Il malware opera secondo un modello di distribuzione strettamente controllato, disponibile solo per un gruppo selezionato di clienti. Dopo un periodo di relativa dormienza, DarkGate è riemerso con una vendetta nel settembre 2023 in seguito all'interruzione e all'abbattimento dell'infrastruttura Qakbot . Questa rinascita ha coinciso con diverse campagne malware di alto profilo, indicando che DarkGate era diventato uno strumento preferito tra i criminali informatici.

Il malware DarkGate: vettori di infezione e impatto globale

La rinascita di DarkGate è stata caratterizzata dalla sua ampia distribuzione su vari vettori. Da agosto 2023, i ricercatori di sicurezza informatica hanno osservato numerose campagne che sfruttavano metodi diversi per infettare le vittime con DarkGate:

• Chat di Teams : le vittime sono state indotte con l'inganno a scaricare il programma di installazione di DarkGate tramite link inviati tramite Microsoft Teams.
• Allegati e-mail : le e-mail contenenti archivi cabinet (.cab) venivano utilizzate per indurre le vittime a scaricare ed eseguire contenuti non sicuri.
• DLL Sideloading : programmi legittimi sono stati sfruttati per effettuare il sideload di DarkGate tramite librerie a collegamento dinamico (DLL).

• PDF corrotti : per distribuire DarkGate sono stati utilizzati allegati PDF con collegamenti ad archivi ZIP contenenti file di collegamento a Windows (.lnk).

• File di archivio Java (.jar) : gli host vulnerabili sono stati infettati tramite file di archivio Java.

• File HTML: gli utenti sono stati indotti con l'inganno a copiare e incollare script dannosi dai file HTML nella barra Esegui di Windows.

• Pubblicità fraudolente : campagne pubblicitarie distribuivano il malware DarkGate a utenti ignari.

• Condivisioni file Samba aperte: i server che eseguivano condivisioni file Samba aperte venivano utilizzati per ospitare i file per le infezioni DarkGate.

Portata e impatto globali

Queste campagne non sono state confinate a una regione specifica. Le infezioni di DarkGate sono state segnalate in Nord America, Europa e in parti significative dell'Asia. La capacità del malware di adattarsi a diversi meccanismi di distribuzione e le sue tecniche di evasione avanzate lo hanno reso un avversario formidabile per i professionisti della sicurezza informatica in tutto il mondo.

Nel gennaio 2024, DarkGate ha rilasciato la sua sesta versione principale, con il campione scoperto identificato come versione 6.1.6. Questo continuo sviluppo e perfezionamento sottolineano la persistenza della minaccia e l'importanza della vigilanza nel rilevare e mitigare tali attacchi.

Conclusione: rafforzare le difese contro le minacce in evoluzione

Le recenti campagne malware che prendono di mira gli utenti di Pidgin e Cradle evidenziano le tattiche in evoluzione impiegate dai criminali informatici. L'uso di applicazioni e plugin apparentemente legittimi come vettori per la distribuzione di malware sofisticati come DarkGate sottolinea la necessità di misure di sicurezza informatica robuste. Gli utenti devono prestare attenzione quando scaricano plugin o applicazioni di terze parti, anche da fonti apparentemente affidabili. Nel frattempo, sviluppatori e professionisti della sicurezza devono collaborare per rafforzare la sicurezza degli ecosistemi software, assicurando che tali minacce vengano identificate e neutralizzate prima che possano causare danni diffusi.

In un'epoca in cui gli strumenti di comunicazione digitale sono onnipresenti, la posta in gioco non è mai stata così alta. Mentre gli attori delle minacce continuano a innovare, lo stesso devono fare le nostre difese. La battaglia contro malware come DarkGate è in corso, ma con una consapevolezza progressivamente maggiore e abitudini proattive, possiamo rimanere un passo avanti agli aggressori.