Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Ondsinnet Pidgin-plugin

Ondsinnet Pidgin-plugin

Med Mezo i Skadelig programvare
Oversett til:
Norsk

Det digitale landskapet er i stadig utvikling, med direktemeldingsapplikasjoner som blir en integrert del av personlig og profesjonell kommunikasjon. Imidlertid har disse plattformene også blitt hovedmål for trusselaktører. Nylige cybersikkerhetshendelser har fremhevet farene som lurer i mye brukte meldingsapplikasjoner, med sofistikerte malware-kampanjer rettet mot intetanende brukere. Denne artikkelen utforsker fremveksten av disse truslene, med fokus på to viktige tilfeller: den truende Pidgin-pluginen og en kompromittert gaffel i Signal-applikasjonen.

The Pidgin Plugin Infiltration

22. august 2024 avslørte Pidgin, en populær åpen kildekode-meldingsapplikasjon, at en ødelagt plugin ved navn ScreenShare-OTR (ss-otr) hadde infiltrert den offisielle tredjeparts-plugin-listen. Programtillegget, som ble markedsført som et verktøy for skjermdeling over meldingsprotokollen Off-the-Record (OTR), ble funnet å inneholde ondsinnet kode. Til å begynne med ble det ubemerket på grunn av fraværet av kildekode og tilgjengeligheten av bare binære filer for nedlasting - en kritisk tilsyn som gjorde at trusselen kunne spre seg uoppdaget.

Truende evner avdekket

En grundig analyse av cybersikkerhetsforskere avdekket den sanne naturen til ScreenShare-OTR-plugin. Undersøkelsen avslørte at pluginet var designet for å utføre flere ondsinnede aktiviteter:

  • Tastelogging : Programtillegget kan logge tastetrykk, fange opp sensitiv informasjon som passord og private meldinger.
  • Skjermbildedeling : Plugin-en tok skjermbilder og sendte dem til operatørene, og potensielt avslørte konfidensiell informasjon.
  • Nedlasting og kjøring av falske binære filer : Plugin-modulen er koblet til en kriminell kontrollert server for å laste ned og utføre ytterligere utrygge nyttelaster, inkludert et PowerShell-skript og den beryktede DarkGate- malwaren.

Installasjonsprogrammet til plugin-en ble signert med et legitimt sertifikat utstedt til et polsk selskap, noe som ga den en autentisitetsfiner som sannsynligvis bidro til å omgå sikkerhetstiltak. Både Windows- og Linux-versjoner av plugin-en viste lignende ondsinnet oppførsel, og demonstrerte trusselen på tvers av plattformer som dette angrepet utgjør.

De bredere implikasjonene

Ytterligere undersøkelser avslørte at nettstedet som var vert for de utrygge nyttelastene, ble maskert som et legitimt plugin-lager. Den tilbød også andre populære plugins som OMEMO, Pidgin Paranoia og Window Merge, som kunne ha blitt kompromittert. Dessuten ble den samme bakdøren som ble funnet i ScreenShare-OTR-plugin-modulen oppdaget i Cradle, en applikasjon som fakturerte seg selv som "antirettsmedisinsk meldingsprogramvare."

Cradle: En antatt signalgaffel

Cradle utgjør en mer lumsk risiko på grunn av tilknytningen til Signal, en av de mest pålitelige sikre meldingsapplikasjonene. Selv om Cradle er en åpen kildekode-gaffel av Signal, er den verken sponset av eller tilknyttet Signal Foundation. Til tross for dette klarte den å overbevise brukere om legitimiteten, blant annet fordi den forklede kildekoden var delvis tilgjengelig på GitHub.

En dypere inspeksjon avslørte imidlertid at Cradle ble bygget med en annen kode enn det som var offentlig tilgjengelig. Applikasjonen var innebygd med den samme ondsinnede koden som ScreenShare-OTR-pluginen, i stand til å laste ned skript som distribuerte DarkGate-malware. Tilstedeværelsen av denne skadelige programvaren i både Windows- og Linux-versjonene av Cradle understreket ytterligere risikoen på tvers av plattformer som disse angrepene utgjør.

DarkGate: En vedvarende og utviklende trussel

DarkGate er ikke en ny aktør i skadevareøkosystemet. Først dokumentert i 2018, har den utviklet seg til en sofistikert Malware-as-a-Service (MaaS)-plattform. DarkGate tilbyr et bredt spekter av funksjoner, inkludert:

  • Skjult virtuell nettverksdatabehandling (hVNC)
  • Ekstern kodeutførelse
  • Kryptomining
  • Omvendt Shell Access

Skadevaren opererer under en tett kontrollert distribusjonsmodell, kun tilgjengelig for en utvalgt gruppe kunder. Etter en periode med relativ dvale, dukket DarkGate opp igjen med hevn i september 2023 etter avbruddet og fjerningen av Qakbot- infrastrukturen. Denne gjenoppblomstringen falt sammen med flere høyprofilerte malware-kampanjer, noe som indikerer at DarkGate hadde blitt et yndet verktøy blant nettkriminelle.

DarkGate Malware: Infeksjonsvektorer og global innvirkning

DarkGates gjenoppblomstring har vært preget av dens utbredte distribusjon på tvers av forskjellige vektorer. Siden august 2023 har cybersikkerhetsforskere observert en rekke kampanjer som utnytter forskjellige metoder for å infisere ofre med DarkGate:

  • Teams Chats : Ofrene ble lurt til å laste ned DarkGate-installasjonsprogrammet via lenker sendt gjennom Microsoft Teams.
  • E-postvedlegg : E-poster som inneholdt kabinettarkiver (.cab) ble brukt for å lokke ofre til å laste ned og utføre usikkert innhold.
  • DLL Sideloading : Legitime programmer ble utnyttet til å sidelaste DarkGate via dynamic link library (DLLs).
  • Ødelagte PDF-filer : PDF-vedlegg med lenker til ZIP-arkiver som inneholder Windows-snarveisfiler (.lnk) ble brukt til å distribuere DarkGate.
  • Java Archive (.jar)-filer : Sårbare verter ble infisert gjennom Java-arkivfiler.
  • HTML-filer: Brukere ble lurt til å kopiere og lime inn ondsinnede skript fra HTML-filer i Windows Run-feltet.
  • Uredelige annonser : Annonsebaserte kampanjer distribuerte DarkGate-malware til intetanende brukere.
  • Åpne Samba-filandeler: Servere som kjører åpne Samba-fildelinger ble brukt til å være vert for filer for DarkGate-infeksjoner.

Global rekkevidde og innvirkning

Disse kampanjene har ikke vært begrenset til en bestemt region. DarkGate-infeksjoner er rapportert over hele Nord-Amerika, Europa og betydelige deler av Asia. Skadevarens evne til å tilpasse seg forskjellige leveringsmekanismer og dens avanserte unnvikelsesteknikker har gjort den til en formidabel motstander for cybersikkerhetseksperter over hele verden.

I januar 2024 ga DarkGate ut sin sjette hovedversjon, med den avdekkede prøven identifisert som versjon 6.1.6. Denne kontinuerlige utviklingen og foredlingen understreker trusselens utholdenhet og viktigheten av årvåkenhet for å oppdage og dempe slike angrep.

Konklusjon: Styrke forsvaret mot utviklende trusler

De nylige skadevarekampanjene rettet mot Pidgin- og Cradle-brukere fremhever de utviklende taktikkene som brukes av nettkriminelle. Bruken av tilsynelatende legitime applikasjoner og plugins som vektorer for å levere sofistikert skadelig programvare som DarkGate understreker behovet for robuste cybersikkerhetstiltak. Brukere må utvise forsiktighet når de laster ned tredjeparts plugins eller applikasjoner, selv fra tilsynelatende anerkjente kilder. I mellomtiden må utviklere og sikkerhetseksperter samarbeide for å styrke sikkerheten til programvareøkosystemer, og sikre at slike trusler blir identifisert og nøytralisert før de kan forårsake omfattende skade.

I en tid der digitale kommunikasjonsverktøy er allestedsnærværende, har innsatsen aldri vært høyere. Ettersom trusselaktører fortsetter å innovere, må også forsvaret vårt gjøre det. Kampen mot skadevare som DarkGate pågår, men med en stadig større bevissthet og proaktive vaner kan vi ligge et skritt foran angriperne.

Trender

Mest sett

Laster inn...