Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa Kenkėjiškas Pidgin įskiepis

Kenkėjiškas Pidgin įskiepis

Autorius Mezo, Kenkėjiška programa
Versti į:
Lietuvių

Skaitmeninis kraštovaizdis nuolat vystosi, o momentinių pranešimų programos tampa neatskiriama asmeninio ir profesinio bendravimo dalimi. Tačiau šios platformos taip pat tapo pagrindiniais grėsmės veikėjų taikiniais. Pastarieji kibernetinio saugumo incidentai išryškino pavojus, tykančius plačiai naudojamose pranešimų siuntimo programose, o sudėtingos kenkėjiškų programų kampanijos nukreiptos į nieko neįtariančius vartotojus. Šiame straipsnyje nagrinėjamas šių grėsmių atsiradimas, daugiausia dėmesio skiriant dviem reikšmingiems atvejams: grėsmingam Pidgin įskiepiui ir pažeistai Signal programos šakutei.

Pidgin įskiepio įsiskverbimas

2024 m. rugpjūčio 22 d. Pidgin, populiari atvirojo kodo pranešimų siuntimo programa, atskleidė, kad sugadintas papildinys, pavadintas ScreenShare-OTR (ss-otr), įsiskverbė į oficialų trečiųjų šalių įskiepių sąrašą. Nustatyta, kad įskiepyje, kuris buvo parduodamas kaip ekrano dalijimosi naudojant Off-the-Record (OTR) pranešimų siuntimo protokolą įrankis, yra nešvarus kodas. Iš pradžių jis buvo nepastebėtas dėl šaltinio kodo nebuvimo ir tik dvejetainių failų atsisiuntimo galimybės – tai kritinė klaida, dėl kurios grėsmė išplito nepastebimai.

Atskleisti grėsmingi pajėgumai

Nuodugni kibernetinio saugumo tyrėjų atlikta analizė atskleidė tikrąjį „ScreenShare-OTR“ papildinio pobūdį. Tyrimas atskleidė, kad įskiepis buvo sukurtas atlikti keletą kenkėjiškų veiksmų:

  • Klavišų registravimas : papildinys gali registruoti klavišų paspaudimus, užfiksuodamas slaptą informaciją, pvz., slaptažodžius ir asmeninius pranešimus.
  • Ekrano kopijų bendrinimas : įskiepis padarė ekrano kopijas ir išsiuntė jas savo operatoriams, galbūt atskleisdamas konfidencialią informaciją.
  • Apgaulingų dvejetainių failų atsisiuntimas ir vykdymas : papildinys yra prijungtas prie nusikaltėlių kontroliuojamo serverio, kad būtų galima atsisiųsti ir vykdyti kitus nesaugius krovinius, įskaitant „PowerShell“ scenarijų ir liūdnai pagarsėjusią „DarkGate“ kenkėjišką programą.

Papildinio diegimo programa buvo pasirašyta su teisėtu sertifikatu, išduotu Lenkijos įmonei, suteikiant jai autentiškumą, kuris greičiausiai padėjo apeiti saugumo priemones. Tiek „Windows“, tiek „Linux“ papildinio versijos pasižymėjo panašiu kenkėjišku elgesiu, parodydamos šios atakos keliamą grėsmę kelioms platformoms.

Platesnės pasekmės

Tolesnis tyrimas atskleidė, kad svetainė, kurioje saugomi nesaugūs naudingieji kroviniai, buvo paslėpta kaip teisėta papildinių saugykla. Ji taip pat pasiūlė kitus populiarius papildinius, tokius kaip OMEMO, Pidgin Paranoia ir Window Merge, kurie galėjo būti pažeisti. Be to, tos pačios užpakalinės durys, esančios „ScreenShare-OTR“ papildinyje, buvo aptiktos programoje „Cradle“, kuri vadinosi „antikriminalistinė pranešimų siuntimo programinė įranga“.

Lopšys: tariama signalo šakutė

„Cradle“ kelia klastingesnę riziką, nes susiejama su „Signal“, viena patikimiausių saugių pranešimų siuntimo programų. Nors „Cradle“ yra „Signal“ atvirojo kodo šakutė, ji nėra nei remiama, nei su juo susijusi. Nepaisant to, jai pavyko įtikinti vartotojus savo teisėtumu, iš dalies todėl, kad jo šakotasis šaltinio kodas iš dalies buvo pasiekiamas GitHub.

Tačiau nuodugnesnis patikrinimas atskleidė, kad „Cradle“ buvo sukurtas naudojant kitokį kodą, nei buvo prieinamas viešai. Programa buvo įterpta su tuo pačiu kenkėjišku kodu kaip ir ScreenShare-OTR papildinys, galintis atsisiųsti scenarijus, kurie įdiegė kenkėjišką programą „DarkGate“. Šios kenkėjiškos programos buvimas „Windows“ ir „Linux“ „Cradle“ versijose dar labiau pabrėžė šių atakų keliamą pavojų kelioms platformoms.

DarkGate: nuolatinė ir besivystanti grėsmė

„DarkGate“ nėra naujas žaidėjas kenkėjiškų programų ekosistemoje. Pirmą kartą dokumentuota 2018 m., ji išsivystė į sudėtingą kenkėjiškų programų (MaaS) platformą. „DarkGate“ siūlo daugybę galimybių, įskaitant:

  • Paslėptas virtualus tinklo skaičiavimas (hVNC)
  • Nuotolinis kodo vykdymas
  • Kriptominavimas
  • Atvirkštinė prieiga prie apvalkalo

Kenkėjiška programa veikia pagal griežtai kontroliuojamą platinimo modelį, prieinamą tik tam tikrai klientų grupei. Po santykinio ramybės laikotarpio „DarkGate“ 2023 m. rugsėjį vėl iškilo keršto po to, kai buvo sutrikdyta ir panaikinta Qakbot infrastruktūra. Šis atgimimas sutapo su keliomis aukšto lygio kenkėjiškų programų kampanijomis, rodančiomis, kad „DarkGate“ tapo mėgstamu kibernetinių nusikaltėlių įrankiu.

„DarkGate“ kenkėjiška programa: infekcijos vektoriai ir pasaulinis poveikis

„DarkGate“ atgimimas pasižymėjo plačiu jo paplitimu įvairiuose vektoriuose. Nuo 2023 m. rugpjūčio mėn. kibernetinio saugumo tyrinėtojai stebėjo daugybę kampanijų, naudojančių įvairius būdus, kaip užkrėsti aukas „DarkGate“:

  • Komandų pokalbiai : aukos buvo apgaudinėjamos atsisiųsti „DarkGate“ diegimo programą per „Microsoft Teams“ išsiųstas nuorodas.
  • El. pašto priedai : el. laiškai su kabineto (.cab) archyvais buvo naudojami siekiant privilioti aukas atsisiųsti ir vykdyti nesaugų turinį.
  • DLL šoninis įkėlimas : teisėtos programos buvo išnaudotos norint įkelti „DarkGate“ per dinaminių nuorodų bibliotekas (DLL).
  • Sugadinti PDF failai : „DarkGate“ diegti buvo naudojami PDF priedai su nuorodomis į ZIP archyvus, kuriuose yra „Windows“ nuorodų (.lnk) failų.
  • „Java“ archyvo (.jar) failai : pažeidžiami pagrindiniai kompiuteriai buvo užkrėsti per „Java“ archyvo failus.
  • HTML failai: vartotojai buvo apgauti kopijuodami ir įklijuodami kenkėjiškus scenarijus iš HTML failų į „Windows Run“ juostą.
  • Apgaulingi skelbimai : reklamomis pagrįstos kampanijos platino „DarkGate“ kenkėjiškas programas nieko neįtariantiems vartotojams.
  • Atviros „Samba“ failų bendrinimo priemonės: serveriai, kuriuose veikia atviros „Samba“ failų bendrinimo priemonės, buvo naudojami „DarkGate“ infekcijų failams priglobti.

Pasaulinis pasiekiamumas ir poveikis

Šios kampanijos neapsiribojo konkrečiu regionu. Buvo pranešta apie „DarkGate“ infekcijas visoje Šiaurės Amerikoje, Europoje ir didelėse Azijos dalyse. Kenkėjiškos programos gebėjimas prisitaikyti prie skirtingų pristatymo mechanizmų ir pažangios vengimo technologijos pavertė ją didžiuliu priešininku kibernetinio saugumo profesionalams visame pasaulyje.

2024 m. sausio mėn. „DarkGate“ išleido šeštąją pagrindinę versiją, o atidengtas pavyzdys buvo identifikuotas kaip 6.1.6 versija. Šis nuolatinis tobulinimas ir tobulinimas pabrėžia grėsmės išlikimą ir budrumo svarbą nustatant ir sušvelninant tokius išpuolius.

Išvada: stiprinti gynybą nuo besivystančių grėsmių

Naujausios kenkėjiškų programų kampanijos, skirtos Pidgin ir Cradle naudotojams, pabrėžia besikeičiančią kibernetinių nusikaltėlių taktiką. Iš pažiūros teisėtų programų ir įskiepių, kaip vektorių naudojimas sudėtingoms kenkėjiškoms programoms, tokioms kaip „DarkGate“, tiekti pabrėžiamas tvirtų kibernetinio saugumo priemonių poreikis. Naudotojai turi būti atsargūs atsisiųsdami trečiųjų šalių papildinius ar programas, net iš iš pažiūros patikimų šaltinių. Tuo tarpu kūrėjai ir saugos specialistai turi dirbti kartu, kad sustiprintų programinės įrangos ekosistemų saugumą, užtikrindami, kad tokios grėsmės būtų nustatytos ir neutralizuotos, kol jos dar nesukels didelės žalos.

Šiuo metu, kai skaitmeninės komunikacijos priemonės yra visur, statymas niekada nebuvo didesnis. Kadangi grėsmės veikėjai ir toliau kuria naujoves, taip pat turi veikti ir mūsų gynyba. Kova su kenkėjiškomis programomis, tokiomis kaip „DarkGate“, tebevyksta, tačiau laipsniškai geriau žinodami ir imdamiesi iniciatyvių įpročių, galime būti vienu žingsniu priekyje užpuolikų.

Tendencijos

Banshee Stealer

Vogtininkai, Kenkėjiška programa
Šiais laikais mūsų asmeninis, finansinis ir profesinis gyvenimas yra sudėtingai susipynę su mūsų įrenginiais, todėl kenkėjiškų programų grėsmės negalima pervertinti. Kibernetiniai nusikaltėliai nuolat tobulina savo taktiką, kuria sudėtingesnes kenkėjiškas programas, kurios įsiskverbtų į sistemas, pavogtų neskelbtiną informaciją ir padarytų didelę žalą. Viena iš tokių grėsmingų grėsmių yra...

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Sukčiavimas, Šlamštas
37,953
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...

Iššokantieji langai „Jei jums 18 metų, bakstelėkite...

Netikri įspėjamieji pranešimai
29,609
Iššokantieji langai „Jei esate 18 metų, bakstelėkite leisti“ yra iššokančiųjų langų tipas, kuris rodomas vartotojo ekrane naršant internete. Šie iššokantieji langai gali kelti nerimą vartotojams, nes jie ragina spustelėti mygtuką „leisti“, kad toliau naudotųsi svetaine, kurioje jie šiuo metu yra. Šie iššokantys langai yra susiję su tokiomis nepageidaujamomis programomis kaip reklaminė...
Įkeliama...