Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Ļaunprātīgs Pidgin spraudnis

Ļaunprātīgs Pidgin spraudnis

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:
Latviešu

Digitālā ainava nemitīgi attīstās, tūlītējās ziņojumapmaiņas lietojumprogrammām kļūstot par personīgās un profesionālās komunikācijas neatņemamu sastāvdaļu. Tomēr šīs platformas ir kļuvušas arī par galveno apdraudējuma dalībnieku mērķi. Nesenie kiberdrošības incidenti ir parādījuši briesmas, kas slēpjas plaši izmantotajās ziņojumapmaiņas lietojumprogrammās, jo sarežģītas ļaunprātīgas programmatūras kampaņas ir vērstas pret nenojaušajiem lietotājiem. Šajā rakstā ir aplūkota šo draudu parādīšanās, pievēršoties diviem nozīmīgiem gadījumiem: draudošajam Pidgin spraudnim un lietojumprogrammas Signal apdraudētai daļai.

Pidgin spraudņa infiltrācija

2024. gada 22. augustā populārā atvērtā pirmkoda ziņojumapmaiņas lietojumprogramma Pidgin atklāja, ka tās oficiālajā trešās puses spraudņu sarakstā ir iefiltrējies bojāts spraudnis ar nosaukumu ScreenShare-OTR (ss-otr). Tika konstatēts, ka spraudnis, kas tika tirgots kā rīks ekrāna koplietošanai, izmantojot ziņojumapmaiņas protokolu Off-the-Record (OTR), satur negodīgu kodu. Sākotnēji tas palika nepamanīts, jo nebija avota koda un lejupielādei bija pieejami tikai binārie faili. Tas ir kritisks pārraudzība, kas ļāva draudiem izplatīties nepamanīti.

Atklātas draudošās spējas

Rūpīga kiberdrošības pētnieku veiktā analīze atklāja spraudņa ScreenShare-OTR patieso būtību. Izmeklēšanā atklājās, ka spraudnis bija paredzēts vairāku ļaunprātīgu darbību veikšanai:

  • Taustiņu reģistrēšana : spraudnis var reģistrēt taustiņsitienus, tverot sensitīvu informāciju, piemēram, paroles un privātas ziņas.
  • Ekrānuzņēmumu kopīgošana : spraudnis uzņēma ekrānuzņēmumus un nosūtīja tos saviem operatoriem, iespējams, atklājot konfidenciālu informāciju.
  • Krāpniecisku bināro failu lejupielāde un izpilde : spraudnis ir savienots ar noziedznieku kontrolētu serveri, lai lejupielādētu un izpildītu turpmākas nedrošas slodzes, tostarp PowerShell skriptu un bēdīgi slaveno DarkGate ļaunprogrammatūru.

Spraudņa instalētājs tika parakstīts ar likumīgu sertifikātu, kas izsniegts Polijas uzņēmumam, piešķirot tam autentiskuma finierējumu, kas, iespējams, palīdzēja apiet drošības pasākumus. Gan Windows, gan Linux spraudņa versijās bija līdzīga ļaunprātīga darbība, demonstrējot šī uzbrukuma radītos starpplatformu draudus.

Plašākas sekas

Turpmākā izmeklēšana atklāja, ka vietne, kurā tiek mitinātas nedrošas kravas, tika maskēta kā likumīga spraudņu krātuve. Tas piedāvāja arī citus populārus spraudņus, piemēram, OMEMO, Pidgin Paranoia un Window Merge, kas varēja tikt apdraudēti. Turklāt tās pašas aizmugures durvis, kas atrodamas spraudnī ScreenShare-OTR, tika atklātas Cradle — lietojumprogrammā, kas sevi dēvēja par "prettiesu ekspertīžu ziņojumapmaiņas programmatūru".

Šūpulis: domājamā signāla dakša

Cradle rada mānīgāku risku, jo tas ir saistīts ar Signal, vienu no uzticamākajām drošās ziņojumapmaiņas lietojumprogrammām. Lai gan Cradle ir Signal atvērtā pirmkoda dakša, to ne sponsorē Signal Foundation, ne arī tas nav saistīts ar to. Neskatoties uz to, tai izdevās pārliecināt lietotājus par tā leģitimitāti, daļēji tāpēc, ka tā dakšveida pirmkods bija daļēji pieejams vietnē GitHub.

Tomēr padziļināta pārbaude atklāja, ka Cradle tika uzbūvēts, izmantojot atšķirīgu kodu nekā tas, kas bija pieejams publiski. Lietojumprogramma tika iegulta ar to pašu ļaunprātīgo kodu kā spraudnis ScreenShare-OTR, kas spēj lejupielādēt skriptus, kas izvietoja DarkGate ļaunprogrammatūru. Šīs ļaunprogrammatūras klātbūtne gan Cradle Windows, gan Linux versijās vēl vairāk uzsvēra šo uzbrukumu radītos starpplatformu riskus.

DarkGate: pastāvīgs un mainīgs drauds

DarkGate nav jauns spēlētājs ļaunprātīgas programmatūras ekosistēmā. Pirmo reizi dokumentēts 2018. gadā, tas ir attīstījies par sarežģītu Malware-as-a-Service (MaaS) platformu. DarkGate piedāvā plašu iespēju klāstu, tostarp:

  • Slēptā virtuālā tīkla skaitļošana (hVNC)
  • Attālā koda izpilde
  • Kriptominerace
  • Apgrieztā čaulas piekļuve

Ļaunprātīga programmatūra darbojas saskaņā ar stingri kontrolētu izplatīšanas modeli, kas ir pieejams tikai noteiktai klientu grupai. Pēc relatīvas miera perioda DarkGate ar lielu atriebību atkal parādījās 2023. gada septembrī pēc Qakbot infrastruktūras pārtraukšanas un likvidēšanas. Šī atdzimšana sakrita ar vairākām augsta līmeņa ļaunprātīgas programmatūras kampaņām, norādot, ka DarkGate ir kļuvis par iecienītu rīku kibernoziedznieku vidū.

DarkGate ļaunprātīga programmatūra: infekcijas vektori un globālā ietekme

DarkGate atdzimšanu raksturo tā plašā izplatība dažādos vektoros. Kopš 2023. gada augusta kiberdrošības pētnieki ir novērojuši daudzas kampaņas, kurās tiek izmantotas dažādas metodes upuru inficēšanai ar DarkGate:

  • Teams Chats : upuri tika pievilināti lejupielādēt DarkGate instalēšanas programmu, izmantojot saites, kas tika nosūtītas, izmantojot Microsoft Teams.
  • E-pasta pielikumi : e-pasta ziņojumi, kas satur kabineta (.cab) arhīvus, tika izmantoti, lai mudinātu upurus lejupielādēt un izpildīt nedrošu saturu.
  • DLL sānu ielāde : tika izmantotas likumīgas programmas, lai ielādētu DarkGate, izmantojot dinamisko saišu bibliotēkas (DLL).
  • Bojāti PDF faili : DarkGate izvietošanai tika izmantoti PDF pielikumi ar saitēm uz ZIP arhīviem, kuros ir Windows saīsnes (.lnk) faili.
  • Java arhīva (.jar) faili : neaizsargāti saimniekdatori tika inficēti, izmantojot Java arhīva failus.
  • HTML faili: lietotāji tika maldināti, kopējot un ielīmējot ļaunprātīgus skriptus no HTML failiem Windows palaišanas joslā.
  • Krāpnieciskas reklāmas : uz reklāmām balstītas kampaņas izplatīja DarkGate ļaunprātīgu programmatūru nenojaušajiem lietotājiem.
  • Atvērtās Samba failu koplietošanas iespējas: DarkGate infekciju failu mitināšanai tika izmantoti serveri, kurā darbojas atvērtas Samba failu koplietošanas iespējas.

Globālā sasniedzamība un ietekme

Šīs kampaņas nav bijušas ierobežotas ar noteiktu reģionu. Ir ziņots par DarkGate infekcijām visā Ziemeļamerikā, Eiropā un ievērojamā daļā Āzijas. Ļaunprātīgās programmatūras spēja pielāgoties dažādiem piegādes mehānismiem un tās uzlabotās izvairīšanās metodes ir padarījušas to par milzīgu pretinieku kiberdrošības profesionāļiem visā pasaulē.

2024. gada janvārī DarkGate izlaida savu sesto galveno versiju, un atklātais paraugs tika identificēts kā versija 6.1.6. Šī nepārtrauktā attīstība un pilnveidošana uzsver draudu noturību un modrības nozīmi šādu uzbrukumu atklāšanā un mazināšanā.

Secinājums: Aizsardzības stiprināšana pret mainīgiem draudiem

Nesenās ļaunprogrammatūras kampaņas, kuru mērķauditorija ir Pidgin un Cradle lietotāji, izceļ kibernoziedznieku izmantotās taktikas, kas attīstās. Šķietami likumīgu lietojumprogrammu un spraudņu kā vektoru izmantošana sarežģītas ļaunprātīgas programmatūras, piemēram, DarkGate, piegādei uzsver vajadzību pēc stingriem kiberdrošības pasākumiem. Lietotājiem ir jāievēro piesardzība, lejupielādējot trešo pušu spraudņus vai lietojumprogrammas, pat no šķietami cienījamiem avotiem. Tikmēr izstrādātājiem un drošības speciālistiem ir jāsadarbojas, lai stiprinātu programmatūras ekosistēmu drošību, nodrošinot, ka šādi draudi tiek identificēti un neitralizēti, pirms tie var radīt plašu kaitējumu.

Laikmetā, kad digitālie saziņas rīki ir visuresoši, likmes nekad nav bijušas augstākas. Tā kā apdraudējuma dalībnieki turpina ieviest jauninājumus, arī mūsu aizsardzībai ir jāievieš jauninājumi. Cīņa pret ļaunprātīgu programmatūru, piemēram, DarkGate, turpinās, taču ar pakāpeniski lielāku informētību un proaktīviem ieradumiem mēs varam būt soli priekšā uzbrucējiem.

Tendences

Banshee Stealer

Zagļi, Ļaunprātīga programmatūra
Mūsdienās mūsu personīgā, finansiālā un profesionālā dzīve ir cieši saistīta ar mūsu ierīcēm, un ļaunprātīgas programmatūras draudus nevar pārvērtēt. Kibernoziedznieki pastāvīgi uzlabo savu taktiku, izstrādā sarežģītāku ļaunprogrammatūru, lai iefiltrētos sistēmās, nozagtu sensitīvu informāciju un nodarītu būtisku kaitējumu. Viens no šādiem milzīgiem draudiem ir Banshee Stealer, informācijas...

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Pikšķerēšana, Mēstules
37,953
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...

Uznirstošie logi “Ja jums ir 18 gadi, pieskarieties...

Viltus brīdinājuma ziņojumi
29,609
Uznirstošie logi “Ja jums ir 18 gadus, pieskarieties Atļaut” ir uznirstošo reklāmu veids, kas tiek rādīts lietotāja ekrānā, pārlūkojot internetu. Šie uznirstošie logi var būt diezgan satraucoši lietotājiem, jo viņi mudina viņus noklikšķināt uz pogas "atļaut", lai turpinātu izmantot vietni, kurā viņi pašlaik atrodas. Šie uznirstošie logi ir saistīti ar tādām nevēlamām programmām kā...
Notiek ielāde...