Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Złośliwa wtyczka Pidgin

Złośliwa wtyczka Pidgin

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:
Polski

Krajobraz cyfrowy nieustannie ewoluuje, a aplikacje do obsługi wiadomości błyskawicznych stają się integralną częścią komunikacji osobistej i zawodowej. Jednak platformy te stały się również głównymi celami dla podmiotów stanowiących zagrożenie. Ostatnie incydenty związane z cyberbezpieczeństwem uwypukliły niebezpieczeństwa czyhające w powszechnie używanych aplikacjach do obsługi wiadomości, a wyrafinowane kampanie złośliwego oprogramowania są wymierzone w niczego niepodejrzewających użytkowników. W tym artykule zbadano wzrost tych zagrożeń, skupiając się na dwóch istotnych przypadkach: groźnej wtyczce Pidgin i naruszonym forku aplikacji Signal.

Infiltracja wtyczki Pidgin

22 sierpnia 2024 r. Pidgin, popularna aplikacja do przesyłania wiadomości typu open source, ujawniła, że uszkodzona wtyczka o nazwie ScreenShare-OTR (ss-otr) zinfiltrowała oficjalną listę wtyczek innych firm. Wtyczka, która była reklamowana jako narzędzie do udostępniania ekranu za pośrednictwem protokołu przesyłania wiadomości Off-the-Record (OTR), zawierała złośliwy kod. Początkowo nie została zauważona z powodu braku kodu źródłowego i dostępności wyłącznie plików binarnych do pobrania — krytyczne przeoczenie, które pozwoliło zagrożeniu rozprzestrzenić się niezauważone.

Odkryto groźne możliwości

Dokładna analiza przeprowadzona przez badaczy cyberbezpieczeństwa ujawniła prawdziwą naturę wtyczki ScreenShare-OTR. Śledztwo wykazało, że wtyczka została zaprojektowana do wykonywania kilku złośliwych działań:

  • Rejestrowanie klawiszy : Wtyczka może rejestrować naciśnięcia klawiszy, przechwytując poufne informacje, takie jak hasła i prywatne wiadomości.
  • Udostępnianie zrzutów ekranu : Wtyczka wykonywała zrzuty ekranu i wysyłała je swoim operatorom, potencjalnie ujawniając poufne informacje.
  • Pobieranie i uruchamianie fałszywych plików binarnych : Wtyczka łączy się z serwerem kontrolowanym przez przestępców, aby pobierać i uruchamiać dalsze niebezpieczne ładunki, w tym skrypt programu PowerShell i osławione złośliwe oprogramowanie DarkGate .

Instalator wtyczki został podpisany legalnym certyfikatem wydanym polskiej firmie, co nadało mu pozór autentyczności, który prawdopodobnie pomógł ominąć środki bezpieczeństwa. Zarówno wersja wtyczki dla systemu Windows, jak i Linux wykazywała podobne złośliwe zachowanie, co dowodzi, że atak ten stanowi zagrożenie dla wielu platform.

Szersze implikacje

Dalsze dochodzenie wykazało, że witryna hostująca niebezpieczne ładunki podszywała się pod legalne repozytorium wtyczek. Oferowała również inne popularne wtyczki, takie jak OMEMO, Pidgin Paranoia i Window Merge, które mogły zostać naruszone. Co więcej, ten sam backdoor znaleziony we wtyczce ScreenShare-OTR został odkryty w Cradle, aplikacji, która reklamowała się jako „oprogramowanie do obsługi wiadomości anty-forensic”.

Kołyska: rzekomy widelec sygnałowy

Cradle stanowi bardziej podstępne ryzyko ze względu na powiązanie z Signal, jedną z najbardziej zaufanych bezpiecznych aplikacji do przesyłania wiadomości. Chociaż Cradle jest rozwidleniem Signal o otwartym kodzie źródłowym, nie jest sponsorowane ani powiązane z Signal Foundation. Mimo to udało mu się przekonać użytkowników o swojej legalności, częściowo dlatego, że jego rozwidlony kod źródłowy był częściowo dostępny na GitHub.

Jednak głębsza inspekcja wykazała, że Cradle został zbudowany przy użyciu innego kodu niż ten, który był publicznie dostępny. Aplikacja była osadzona w tym samym złośliwym kodzie co wtyczka ScreenShare-OTR, zdolna do pobierania skryptów, które wdrażały złośliwe oprogramowanie DarkGate. Obecność tego złośliwego oprogramowania w wersjach Cradle dla systemów Windows i Linux dodatkowo podkreśliła ryzyko międzyplatformowe, jakie stwarzają te ataki.

DarkGate: Trwałe i ewoluujące zagrożenie

DarkGate nie jest nowym graczem w ekosystemie malware. Po raz pierwszy udokumentowany w 2018 r., rozwinął się w zaawansowaną platformę Malware-as-a-Service (MaaS). DarkGate oferuje szeroki zakres możliwości, w tym:

  • Ukryta wirtualna sieć obliczeniowa (hVNC)
  • Zdalne wykonywanie kodu
  • Kopanie kryptowalut
  • Odwrotny dostęp do powłoki

Malware działa w ramach ściśle kontrolowanego modelu dystrybucji, dostępnego tylko dla wybranej grupy klientów. Po okresie względnego uśpienia DarkGate ponownie pojawił się z impetem we wrześniu 2023 r. po zakłóceniu i usunięciu infrastruktury Qakbot . Ten renesans zbiegł się z kilkoma głośnymi kampaniami malware, co wskazuje, że DarkGate stał się ulubionym narzędziem cyberprzestępców.

Malware DarkGate: wektory infekcji i globalny wpływ

Odrodzenie DarkGate zostało naznaczone jego szeroką dystrybucją w różnych wektorach. Od sierpnia 2023 r. badacze cyberbezpieczeństwa zaobserwowali liczne kampanie wykorzystujące różne metody w celu zarażania ofiar DarkGate:

  • Czat Teams : Ofiary zostały oszukane i pobrane przez instalatora DarkGate za pośrednictwem linków przesłanych za pośrednictwem Microsoft Teams.
  • Załączniki do wiadomości e-mail : Wiadomości e-mail zawierające archiwa cabinet (.cab) były wykorzystywane do nakłaniania ofiar do pobierania i uruchamiania niebezpiecznych treści.
  • Boczne ładowanie bibliotek DLL : Wykorzystano legalne programy do bocznego ładowania biblioteki DarkGate za pośrednictwem bibliotek DLL.
  • Uszkodzone pliki PDF : Do wdrożenia DarkGate wykorzystano załączniki PDF z linkami do archiwów ZIP zawierających pliki skrótów systemu Windows (.lnk).
  • Pliki archiwum Java (.jar) : podatne na ataki hosty zostały zainfekowane poprzez pliki archiwum Java.
  • Pliki HTML: Użytkownicy zostali oszukani i skopiowali i wkleili złośliwe skrypty z plików HTML do paska Uruchom systemu Windows.
  • Fałszywe reklamy : Kampanie oparte na reklamach rozpowszechniały złośliwe oprogramowanie DarkGate wśród niczego niepodejrzewających użytkowników.
  • Otwarte udostępnianie plików Samba: Serwery obsługujące otwarte udostępnianie plików Samba były wykorzystywane do hostowania plików wykorzystywanych do infekcji DarkGate.

Globalny zasięg i wpływ

Te kampanie nie ograniczały się do konkretnego regionu. Infekcje DarkGate odnotowano w Ameryce Północnej, Europie i znacznych częściach Azji. Zdolność złośliwego oprogramowania do dostosowywania się do różnych mechanizmów dostarczania i jego zaawansowane techniki unikania uczyniły go groźnym przeciwnikiem dla specjalistów od cyberbezpieczeństwa na całym świecie.

W styczniu 2024 r. DarkGate wydało szóstą główną wersję, a odkrytą próbkę zidentyfikowano jako wersję 6.1.6. Ten ciągły rozwój i udoskonalanie podkreślają uporczywość tego zagrożenia i znaczenie czujności w wykrywaniu i łagodzeniu skutków takich ataków.

Wnioski: Wzmacnianie obrony przed ewoluującymi zagrożeniami

Ostatnie kampanie malware skierowane przeciwko użytkownikom Pidgin i Cradle podkreślają ewoluujące taktyki stosowane przez cyberprzestępców. Wykorzystanie pozornie legalnych aplikacji i wtyczek jako wektorów do dostarczania wyrafinowanego malware, takiego jak DarkGate, podkreśla potrzebę solidnych środków cyberbezpieczeństwa. Użytkownicy muszą zachować ostrożność podczas pobierania wtyczek lub aplikacji innych firm, nawet z pozornie renomowanych źródeł. Tymczasem programiści i specjaliści ds. bezpieczeństwa muszą współpracować, aby wzmocnić bezpieczeństwo ekosystemów oprogramowania, zapewniając, że takie zagrożenia zostaną zidentyfikowane i zneutralizowane, zanim będą mogły spowodować powszechne szkody.

W czasach, gdy narzędzia komunikacji cyfrowej są wszechobecne, stawka nigdy nie była wyższa. Wraz z ciągłymi innowacjami ze strony podmiotów stanowiących zagrożenie, nasze środki obrony również muszą być innowacyjne. Walka z malware, takim jak DarkGate, trwa, ale dzięki coraz większej świadomości i proaktywnym nawykom możemy być o krok przed atakującymi.

Popularne

Najczęściej oglądane

Ładowanie...