Kwaadaardige Pidgin-plug-in
Het digitale landschap verandert voortdurend, waarbij instant messaging-applicaties een integraal onderdeel worden van persoonlijke en professionele communicatie. Deze platforms zijn echter ook belangrijke doelwitten geworden voor dreigingsactoren. Recente cybersecurity-incidenten hebben de gevaren benadrukt die op de loer liggen in veelgebruikte messaging-applicaties, met geavanceerde malwarecampagnes die zich richten op nietsvermoedende gebruikers. Dit artikel onderzoekt de opkomst van deze bedreigingen, met de focus op twee belangrijke gevallen: de bedreigende Pidgin-plug-in en een gecompromitteerde fork van de Signal-applicatie.
Inhoudsopgave
De Pidgin Plugin Infiltratie
Op 22 augustus 2024 onthulde Pidgin, een populaire open-source berichtenapplicatie, dat een corrupte plugin genaamd ScreenShare-OTR (ss-otr) zijn officiële lijst met third-party plugins had geïnfiltreerd. De plugin, die op de markt werd gebracht als een tool voor schermdeling via het Off-the-Record (OTR) berichtenprotocol, bleek kwaadaardige code te bevatten. In eerste instantie bleef het onopgemerkt vanwege het ontbreken van broncode en de beschikbaarheid van alleen binaire bestanden om te downloaden - een kritisch verzuim waardoor de dreiging zich onopgemerkt kon verspreiden.
Bedreigende mogelijkheden onthuld
Een grondige analyse door cybersecurity-onderzoekers onthulde de ware aard van de ScreenShare-OTR-plugin. Het onderzoek wees uit dat de plugin was ontworpen om verschillende kwaadaardige activiteiten uit te voeren:
- Keylogging : De plugin kan toetsaanslagen registreren en zo gevoelige informatie vastleggen, zoals wachtwoorden en privéberichten.
- Screenshots delen : de plug-in maakte screenshots en stuurde deze naar de beheerders, waardoor mogelijk vertrouwelijke informatie werd blootgesteld.
- Frauduleuze binaire bestanden downloaden en uitvoeren : de plug-in is verbonden met een door criminelen gecontroleerde server om verdere onveilige payloads te downloaden en uit te voeren, waaronder een PowerShell-script en de beruchte DarkGate- malware.
De installer van de plugin was ondertekend met een legitiem certificaat dat was uitgegeven aan een Pools bedrijf, wat het een schijn van authenticiteit gaf die waarschijnlijk hielp om beveiligingsmaatregelen te omzeilen. Zowel de Windows- als de Linux-versie van de plugin vertoonden vergelijkbaar kwaadaardig gedrag, wat de cross-platform dreiging van deze aanval aantoonde.
De bredere implicaties
Verder onderzoek wees uit dat de site die de onveilige payloads hostte, zich voordeed als een legitieme plugin repository. Het bood ook andere populaire plugins aan, zoals OMEMO, Pidgin Paranoia en Window Merge, die mogelijk gecompromitteerd waren. Bovendien werd dezelfde backdoor die in de ScreenShare-OTR plugin werd gevonden, ontdekt in Cradle, een applicatie die zichzelf aanprijsde als 'anti-forensische berichtensoftware.'
Wieg: een veronderstelde signaalvork
Cradle vormt een sluipender risico vanwege de associatie met Signal, een van de meest vertrouwde veilige berichtenapplicaties. Hoewel Cradle een open-source fork is van Signal, wordt het niet gesponsord door de Signal Foundation en is het er ook niet mee verbonden. Desondanks wist het gebruikers te overtuigen van zijn legitimiteit, deels omdat de geforkte broncode gedeeltelijk beschikbaar was op GitHub.
Een diepere inspectie onthulde echter dat Cradle was gebouwd met een andere code dan wat openbaar beschikbaar was. De applicatie was ingebed met dezelfde kwaadaardige code als de ScreenShare-OTR-plugin, die scripts kon downloaden die de DarkGate-malware implementeerden. De aanwezigheid van deze malware in zowel de Windows- als Linux-versies van Cradle onderstreepte de cross-platformrisico's die deze aanvallen met zich meebrachten.
DarkGate: een aanhoudende en evoluerende bedreiging
DarkGate is geen nieuwe speler in het malware-ecosysteem. Het werd voor het eerst gedocumenteerd in 2018 en is uitgegroeid tot een geavanceerd Malware-as-a-Service (MaaS)-platform. DarkGate biedt een breed scala aan mogelijkheden, waaronder:
- Verborgen virtueel netwerkcomputing (hVNC)
- Uitvoering van externe code
- Cryptomining
- Omgekeerde Shell-toegang
De malware opereert volgens een strikt gecontroleerd distributiemodel, dat alleen beschikbaar is voor een selecte groep klanten. Na een periode van relatieve inactiviteit, dook DarkGate in september 2023 met wraak weer op na de verstoring en verwijdering van de Qakbot- infrastructuur. Deze opleving viel samen met verschillende spraakmakende malwarecampagnes, wat aangeeft dat DarkGate een favoriet hulpmiddel was geworden onder cybercriminelen.
De DarkGate-malware: infectievectoren en wereldwijde impact
De heropleving van DarkGate wordt gekenmerkt door de wijdverspreide verspreiding ervan over verschillende vectoren. Sinds augustus 2023 hebben cybersecurity-onderzoekers talloze campagnes waargenomen die verschillende methoden gebruiken om slachtoffers te infecteren met DarkGate:
- Teams Chats : Slachtoffers werden misleid en kregen het DarkGate-installatieprogramma gedownload via links die via Microsoft Teams werden verzonden.
- E-mailbijlagen : e-mails met cabinetarchieven (.cab) werden gebruikt om slachtoffers te verleiden tot het downloaden en uitvoeren van onveilige inhoud.
- DLL-sideloading : legitieme programma's werden misbruikt om DarkGate te sideloaden via Dynamic Link Libraries (DLL's).
- Beschadigde PDF's : PDF-bijlagen met koppelingen naar ZIP-archieven met Windows-snelkoppelingsbestanden (.lnk) werden gebruikt om DarkGate te implementeren.
- Java-archiefbestanden (.jar) : kwetsbare hosts zijn geïnfecteerd via Java-archiefbestanden.
- HTML-bestanden: Gebruikers werden misleid en kopieerden schadelijke scripts uit HTML-bestanden naar de Windows-uitvoerbalk.
- Frauduleuze advertenties : via advertentiecampagnes werd DarkGate-malware verspreid onder nietsvermoedende gebruikers.
- Open Samba-bestandsshares: Servers waarop open Samba-bestandsshares draaiden, werden gebruikt om bestanden te hosten voor DarkGate-infecties.
Wereldwijd bereik en impact
Deze campagnes zijn niet beperkt tot een specifieke regio. DarkGate-infecties zijn gemeld in Noord-Amerika, Europa en grote delen van Azië. Het vermogen van de malware om zich aan te passen aan verschillende leveringsmechanismen en de geavanceerde ontwijkingstechnieken hebben het tot een geduchte tegenstander gemaakt voor cybersecurityprofessionals wereldwijd.
In januari 2024 bracht DarkGate zijn zesde grote versie uit, waarbij het ontdekte exemplaar werd geïdentificeerd als versie 6.1.6. Deze voortdurende ontwikkeling en verfijning benadrukken de hardnekkigheid van de dreiging en het belang van waakzaamheid bij het detecteren en beperken van dergelijke aanvallen.
Conclusie: Versterking van de verdediging tegen evoluerende bedreigingen
De recente malwarecampagnes die gericht zijn op Pidgin- en Cradle-gebruikers benadrukken de evoluerende tactieken die cybercriminelen gebruiken. Het gebruik van ogenschijnlijk legitieme applicaties en plug-ins als vectoren voor het leveren van geavanceerde malware zoals DarkGate onderstreept de noodzaak van robuuste cyberbeveiligingsmaatregelen. Gebruikers moeten voorzichtig zijn bij het downloaden van plug-ins of applicaties van derden, zelfs van ogenschijnlijk betrouwbare bronnen. Ondertussen moeten ontwikkelaars en beveiligingsprofessionals samenwerken om de beveiliging van software-ecosystemen te versterken en ervoor te zorgen dat dergelijke bedreigingen worden geïdentificeerd en geneutraliseerd voordat ze wijdverbreide schade kunnen veroorzaken.
In een tijdperk waarin digitale communicatietools alomtegenwoordig zijn, is de inzet nog nooit zo hoog geweest. Naarmate dreigingsactoren blijven innoveren, moeten onze verdedigingen dat ook doen. De strijd tegen malware zoals DarkGate is nog steeds gaande, maar met een steeds groter bewustzijn en proactieve gewoontes kunnen we de aanvallers een stap voor blijven.
