Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Pemalam Pidgin Berniat jahat

Pemalam Pidgin Berniat jahat

Menjelang Mezo pada perisian hasad
Terjemahkan ke
بهاس ملايو

Landskap digital sentiasa berkembang, dengan aplikasi pemesejan segera menjadi penting kepada komunikasi peribadi dan profesional. Walau bagaimanapun, platform ini juga telah menjadi sasaran utama bagi pelakon ancaman. Insiden keselamatan siber baru-baru ini telah menyerlahkan bahaya yang mengintai dalam aplikasi pemesejan yang digunakan secara meluas, dengan kempen perisian hasad yang canggih menyasarkan pengguna yang tidak curiga. Artikel ini meneroka peningkatan ancaman ini, memfokuskan pada dua kes penting: pemalam Pidgin yang mengancam dan garpu aplikasi Signal yang terjejas.

Penyusupan Pemalam Pidgin

Pada 22 Ogos 2024, Pidgin, aplikasi pemesejan sumber terbuka yang popular, mendedahkan bahawa pemalam rosak bernama ScreenShare-OTR (ss-otr) telah menyusup senarai pemalam pihak ketiga rasminya. Pemalam itu, yang dipasarkan sebagai alat untuk perkongsian skrin melalui protokol pemesejan Luar Rekod (OTR), didapati mengandungi kod jahat. Pada mulanya, ia tidak disedari kerana ketiadaan kod sumber dan ketersediaan hanya fail binari untuk dimuat turun—penyelesaian kritikal yang membenarkan ancaman merebak tanpa dikesan.

Keupayaan Mengancam Terbongkar

Analisis menyeluruh oleh penyelidik keselamatan siber menemui sifat sebenar pemalam ScreenShare-OTR. Siasatan mendedahkan bahawa pemalam itu direka untuk melakukan beberapa aktiviti berniat jahat:

  • Keylogging : Pemalam boleh log ketukan kekunci, menangkap maklumat sensitif seperti kata laluan dan mesej peribadi.
  • Perkongsian Petikan Skrin : Pemalam mengambil tangkapan skrin dan menghantarnya kepada pengendalinya, yang berpotensi mendedahkan maklumat sulit.
  • Memuat turun dan Melaksanakan Perduaan Penipuan : Pemalam disambungkan kepada pelayan dikawal jenayah untuk memuat turun dan melaksanakan muatan yang tidak selamat lagi, termasuk skrip PowerShell dan perisian hasad DarkGate yang terkenal.

Pemasang pemalam itu telah ditandatangani dengan sijil sah yang dikeluarkan kepada syarikat Poland, memberikannya venir keaslian yang mungkin membantu memintas langkah keselamatan. Kedua-dua versi Windows dan Linux pemalam mempamerkan tingkah laku berniat jahat yang sama, menunjukkan ancaman merentas platform yang ditimbulkan oleh serangan ini.

Implikasi yang Lebih Luas

Siasatan lanjut mendedahkan bahawa tapak yang menganjurkan muatan tidak selamat menyamar sebagai repositori pemalam yang sah. Ia juga menawarkan pemalam popular lain seperti OMEMO, Pidgin Paranoia, dan Window Merge, yang mungkin telah dikompromi. Selain itu, pintu belakang yang sama ditemui dalam pemalam ScreenShare-OTR ditemui dalam Cradle, sebuah aplikasi yang menagih dirinya sebagai 'perisian pemesejan anti-forensik.'

Buaian: Garpu Isyarat yang sepatutnya

Cradle memberikan risiko yang lebih berbahaya kerana kaitannya dengan Signal, salah satu aplikasi pemesejan selamat yang paling dipercayai. Walaupun Cradle ialah garpu isyarat sumber terbuka, ia tidak ditaja atau bergabung dengan Yayasan Isyarat. Walaupun begitu, ia berjaya meyakinkan pengguna tentang kesahihannya, sebahagiannya kerana kod sumber bercabangnya sebahagiannya tersedia di GitHub.

Walau bagaimanapun, pemeriksaan yang lebih mendalam mendedahkan bahawa Cradle telah dibina menggunakan kod yang berbeza daripada yang tersedia secara terbuka. Aplikasi itu dibenamkan dengan kod hasad yang sama seperti pemalam ScreenShare-OTR, yang mampu memuat turun skrip yang menggunakan perisian hasad DarkGate. Kehadiran perisian hasad ini dalam kedua-dua versi Windows dan Linux Cradle menekankan lagi risiko merentas platform yang ditimbulkan oleh serangan ini.

DarkGate: Ancaman Berterusan dan Berkembang

DarkGate bukanlah pemain baharu dalam ekosistem perisian hasad. Pertama kali didokumentasikan pada 2018, ia telah berkembang menjadi platform Malware-as-a-Service (MaaS) yang canggih. DarkGate menawarkan pelbagai keupayaan, termasuk:

  • Pengkomputeran Rangkaian Maya Tersembunyi (hVNC)
  • Pelaksanaan Kod Jauh
  • Cryptomining
  • Akses Cangkang Terbalik

Malware beroperasi di bawah model pengedaran yang dikawal ketat, hanya tersedia untuk kumpulan pelanggan terpilih. Selepas tempoh dorman relatif, DarkGate muncul semula dengan dendam pada September 2023 berikutan gangguan dan alih keluar infrastruktur Qakbot . Kebangkitan semula ini bertepatan dengan beberapa kempen perisian hasad berprofil tinggi, menunjukkan bahawa DarkGate telah menjadi alat yang digemari dalam kalangan penjenayah siber.

Perisian Hasad DarkGate: Vektor Jangkitan dan Kesan Global

Kebangkitan DarkGate telah ditandai dengan pengedarannya yang meluas merentasi pelbagai vektor. Sejak Ogos 2023, penyelidik keselamatan siber telah memerhatikan banyak kempen yang memanfaatkan kaedah berbeza untuk menjangkiti mangsa dengan DarkGate:

  • Sembang Pasukan : Mangsa telah ditipu untuk memuat turun pemasang DarkGate melalui pautan yang dihantar melalui Microsoft Teams.
  • Lampiran E-mel : E-mel yang mengandungi arkib kabinet (.cab) digunakan untuk menarik mangsa supaya memuat turun dan melaksanakan kandungan yang tidak selamat.
  • DLL Sideloading : Program yang sah telah dieksploitasi untuk sideload DarkGate melalui perpustakaan pautan dinamik (DLL).
  • PDF yang rosak : Lampiran PDF dengan pautan ke arkib ZIP yang mengandungi fail pintasan Windows (.lnk) telah digunakan untuk menggunakan DarkGate.
  • Fail Java Archive (.jar) : Hos yang terdedah telah dijangkiti melalui fail arkib Java.
  • Fail HTML: Pengguna telah ditipu untuk menyalin dan menampal skrip berniat jahat daripada fail HTML ke dalam bar Windows Run.
  • Iklan Penipuan : Kempen berasaskan iklan mengedarkan perisian hasad DarkGate kepada pengguna yang tidak curiga.
  • Buka Kongsi Fail Samba: Pelayan yang menjalankan perkongsian fail Samba terbuka telah digunakan untuk mengehoskan fail untuk jangkitan DarkGate.

Jangkauan dan Kesan Global

Kempen ini tidak terhad kepada wilayah tertentu. Jangkitan DarkGate telah dilaporkan di seluruh Amerika Utara, Eropah dan sebahagian besar Asia. Keupayaan perisian hasad untuk menyesuaikan diri dengan mekanisme penghantaran yang berbeza dan teknik pengelakan lanjutannya telah menjadikannya musuh yang hebat untuk profesional keselamatan siber di seluruh dunia.

Pada Januari 2024, DarkGate mengeluarkan versi utama keenamnya, dengan sampel yang ditemui dikenal pasti sebagai versi 6.1.6. Pembangunan dan penghalusan berterusan ini menekankan kegigihan ancaman dan kepentingan kewaspadaan dalam mengesan dan mengurangkan serangan sedemikian.

Kesimpulan: Memperkukuh Pertahanan Menentang Ancaman yang Berubah

Kempen perisian hasad baru-baru ini yang menyasarkan pengguna Pidgin dan Cradle menyerlahkan taktik berkembang yang digunakan oleh penjenayah siber. Penggunaan aplikasi dan pemalam yang kelihatan sah sebagai vektor untuk menyampaikan perisian hasad yang canggih seperti DarkGate menekankan keperluan untuk langkah keselamatan siber yang teguh. Pengguna mesti berhati-hati apabila memuat turun pemalam atau aplikasi pihak ketiga, walaupun dari sumber yang kelihatan bereputasi. Sementara itu, pembangun dan profesional keselamatan mesti bekerjasama untuk mengukuhkan keselamatan ekosistem perisian, memastikan bahawa ancaman tersebut dikenal pasti dan dineutralkan sebelum ia boleh menyebabkan kemudaratan yang meluas.

Dalam zaman di mana alat komunikasi digital ada di mana-mana, kepentingannya tidak pernah lebih tinggi. Memandangkan aktor ancaman terus berinovasi, pertahanan kita juga harus dilakukan. Pertempuran menentang perisian hasad seperti DarkGate sedang berjalan, tetapi dengan kesedaran yang semakin meningkat dan tabiat proaktif, kita boleh kekal selangkah di hadapan penyerang.

Trending

Paling banyak dilihat

Memuatkan...