Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malicious Pidgin Plugin

Malicious Pidgin Plugin

Por Mezo em Malware
Traduzir Para:
Português

O cenário digital está em constante evolução, com aplicativos de mensagens instantâneas se tornando parte integrante da comunicação pessoal e profissional. No entanto, essas plataformas também se tornaram alvos principais para agentes de ameaças. Incidentes recentes de segurança cibernética destacaram os perigos à espreita em aplicativos de mensagens amplamente usados, com campanhas sofisticadas de malware visando usuários desavisados. Este artigo explora o aumento dessas ameaças, com foco em dois casos significativos: o ameaçador plugin Pidgin e um fork comprometido do aplicativo Signal.

A Infiltração do Pidgin Plugin

Em 22 de agosto de 2024, o Pidgin, um popular aplicativo de mensagens de código aberto, revelou que um plugin corrompido chamado ScreenShare-OTR (ss-otr) havia se infiltrado em sua lista oficial de plugins de terceiros. O plugin, que foi comercializado como uma ferramenta para compartilhamento de tela pelo protocolo de mensagens Off-the-Record (OTR), continha código nefasto. Inicialmente, ele passou despercebido devido à ausência de código-fonte e à disponibilidade apenas de arquivos binários para download — um descuido crítico que permitiu que a ameaça se espalhasse sem ser detectada.

As Capacidades Ameaçadoras Descobertas

Uma análise completa por pesquisadores de segurança cibernética revelou a verdadeira natureza do plugin ScreenShare-OTR. A investigação revelou que o plugin foi projetado para executar várias atividades maliciosas:

  • Keylogging : O plugin pode registrar pressionamentos de tecla, capturando informações confidenciais, como senhas e mensagens privadas.
  • Compartilhamento de capturas de tela : O plugin fez capturas de tela e as enviou aos seus operadores, potencialmente expondo informações confidenciais.
  • Baixando e executando binários fraudulentos : O plugin é conectado a um servidor controlado por criminosos para baixar e executar outras cargas inseguras, incluindo um script do PowerShell e o famoso malware DarkGate .

O instalador do plugin foi assinado com um certificado legítimo emitido para uma empresa polonesa, emprestando a ele um verniz de autenticidade que provavelmente ajudou a contornar medidas de segurança. As versões do plugin para Windows e Linux exibiram comportamento malicioso semelhante, demonstrando a ameaça multiplataforma representada por esse ataque.

As Implicações Mais Amplas

Investigações posteriores revelaram que o site que hospedava os payloads inseguros se disfarçava como um repositório de plugins legítimo. Ele também oferecia outros plugins populares como OMEMO, Pidgin Paranoia e Window Merge, que poderiam ter sido comprometidos. Além disso, o mesmo backdoor encontrado no plugin ScreenShare-OTR foi descoberto no Cradle, um aplicativo que se autointitulava como "software de mensagens anti-forense".

Berço: Uma Suposta Bifurcação do Sinal

O Cradle apresenta um risco mais insidioso devido à sua associação com o Signal, um dos aplicativos de mensagens seguras mais confiáveis. Embora o Cradle seja um fork de código aberto do Signal, ele não é patrocinado nem afiliado à Signal Foundation. Apesar disso, ele conseguiu convencer os usuários de sua legitimidade, em parte porque seu código-fonte bifurcado estava parcialmente disponível no GitHub.

No entanto, uma inspeção mais profunda revelou que o Cradle foi construído usando um código diferente do que estava disponível publicamente. O aplicativo foi incorporado com o mesmo código malicioso do plugin ScreenShare-OTR, capaz de baixar scripts que implantaram o malware DarkGate. A presença desse malware nas versões Windows e Linux do Cradle ressaltou ainda mais os riscos multiplataforma apresentados por esses ataques.

DarkGate: Uma Ameaça Persistente e em Evolução

O DarkGate não é um novo player no ecossistema de malware. Documentado pela primeira vez em 2018, ele evoluiu para uma sofisticada plataforma Malware-as-a-Service (MaaS). O DarkGate oferece uma ampla gama de recursos, incluindo:

  • Computação de rede virtual oculta (hVNC)
  • Execução Remota de Código
  • Criptomineração
  • Acesso ao Shell Reverso

O malware opera sob um modelo de distribuição rigidamente controlado, disponível apenas para um grupo seleto de clientes. Após um período de relativa dormência, o DarkGate ressurgiu com força total em setembro de 2023 após a interrupção e derrubada da infraestrutura do Qakbot. Esse ressurgimento coincidiu com várias campanhas de malware de alto perfil, indicando que o DarkGate havia se tornado uma ferramenta favorita entre os cibercriminosos.

O DarkGate Malware: Vetores de Infecção e Impacto Global

O ressurgimento do DarkGate foi marcado por sua ampla distribuição em vários vetores. Desde agosto de 2023, pesquisadores de segurança cibernética observaram inúmeras campanhas alavancando diferentes métodos para infectar vítimas com o DarkGate:

  • Bate-papos em equipes : As vítimas foram enganadas para baixar o instalador do DarkGate por meio de links enviados pelo Microsoft Teams.
  • Anexos de e-mail : E-mails contendo arquivos de gabinete (.cab) eram usados para induzir as vítimas a baixar e executar conteúdo inseguro.
  • Carregamento lateral de DLL : Programas legítimos foram explorados para carregar o DarkGate lateralmente por meio de bibliotecas de vínculo dinâmico (DLLs).
  • PDFs corrompidos : Anexos em PDF com links para arquivos ZIP contendo arquivos de atalho do Windows (.lnk) foram usados para implantar o DarkGate.
  • Arquivos Java Archive (.jar) : Hosts vulneráveis foram infectados por meio de arquivos Java archive.
  • Arquivos HTML: Os usuários eram enganados a copiar e colar scripts maliciosos de arquivos HTML na barra Executar do Windows.
  • Anúncios fraudulentos : Campanhas baseadas em anúncios distribuíam malware DarkGate para usuários desavisados.
  • Compartilhamentos de arquivos Samba abertos: Servidores que executam compartilhamentos de arquivos Samba abertos foram usados para hospedar arquivos para infecções do DarkGate.

Alcance e Impacto Global

Essas campanhas não se limitaram a uma região específica. Infecções por DarkGate foram relatadas na América do Norte, Europa e porções significativas da Ásia. A capacidade do malware de se adaptar a diferentes mecanismos de entrega e suas técnicas avançadas de evasão o tornaram um adversário formidável para profissionais de segurança cibernética em todo o mundo.

Em janeiro de 2024, o DarkGate lançou sua sexta versão principal, com a amostra descoberta identificada como versão 6.1.6. Esse desenvolvimento e refinamento contínuos ressaltam a persistência da ameaça e a importância da vigilância na detecção e mitigação de tais ataques.

Conclusão: Fortalecendo as Defesas contra Ameaças em Evolução

As recentes campanhas de malware direcionadas a usuários do Pidgin e do Cradle destacam as táticas em evolução empregadas por criminosos cibernéticos. O uso de aplicativos e plugins aparentemente legítimos como vetores para entregar malware sofisticado como o DarkGate ressalta a necessidade de medidas robustas de segurança cibernética. Os usuários devem ter cuidado ao baixar plugins ou aplicativos de terceiros, mesmo de fontes aparentemente confiáveis. Enquanto isso, desenvolvedores e profissionais de segurança devem trabalhar juntos para fortalecer a segurança dos ecossistemas de software, garantindo que tais ameaças sejam identificadas e neutralizadas antes que possam causar danos generalizados.

Em uma era em que as ferramentas de comunicação digital são onipresentes, os riscos nunca foram tão altos. À medida que os agentes de ameaças continuam a inovar, nossas defesas também devem. A batalha contra malware como o DarkGate está em andamento, mas com uma conscientização progressivamente maior e hábitos proativos, podemos ficar um passo à frente dos invasores.

Tendendo

Mais visto

Carregando...