Plugin Pidgin rău intenționat
Peisajul digital este în continuă evoluție, aplicațiile de mesagerie instantanee devin parte integrantă a comunicării personale și profesionale. Cu toate acestea, aceste platforme au devenit și ținte principale pentru actorii amenințărilor. Incidentele recente de securitate cibernetică au evidențiat pericolele care pândesc în aplicațiile de mesagerie utilizate pe scară largă, cu campanii sofisticate de malware care vizează utilizatorii nebănuiți. Acest articol explorează creșterea acestor amenințări, concentrându-se pe două cazuri semnificative: pluginul amenințător Pidgin și un furk compromis al aplicației Signal.
Cuprins
Infiltrarea pluginului Pidgin
Pe 22 august 2024, Pidgin, o aplicație populară de mesagerie open-source, a dezvăluit că un plugin corupt numit ScreenShare-OTR (ss-otr) s-a infiltrat în lista oficială de pluginuri terță parte. Pluginul, care a fost comercializat ca instrument pentru partajarea ecranului prin protocolul de mesagerie Off-the-Record (OTR), s-a descoperit că conține cod nefast. Inițial, a trecut neobservat din cauza absenței codului sursă și a disponibilității numai fișierelor binare pentru descărcare - o supraveghere critică care a permis amenințarea să se răspândească nedetectată.
Capacități amenințătoare descoperite
O analiză amănunțită a cercetătorilor în domeniul securității cibernetice a descoperit adevărata natură a pluginului ScreenShare-OTR. Ancheta a arătat că pluginul a fost conceput pentru a efectua mai multe activități rău intenționate:
- Înregistrare taste : pluginul ar putea înregistra apăsările de taste, captând informații sensibile, cum ar fi parolele și mesajele private.
- Partajare capturi de ecran : pluginul a făcut capturi de ecran și le-a trimis operatorilor săi, expunând posibil informații confidențiale.
- Descărcarea și executarea binarelor frauduloase : pluginul este conectat la un server controlat de criminali pentru a descărca și executa încărcări utile suplimentare nesigure, inclusiv un script PowerShell și notoriul malware DarkGate .
Instalatorul pluginului a fost semnat cu un certificat legitim emis unei companii poloneze, împrumutându-i un aspect de autenticitate care probabil a ajutat la ocolirea măsurilor de securitate. Ambele versiuni Windows și Linux ale pluginului au prezentat un comportament rău intenționat similar, demonstrând amenințarea multiplatformă reprezentată de acest atac.
Implicațiile mai largi
O investigație ulterioară a relevat că site-ul care găzduiește încărcăturile utile nesigure s-a mascatat ca un depozit de pluginuri legitim. De asemenea, a oferit și alte plugin-uri populare precum OMEMO, Pidgin Paranoia și Window Merge, care ar fi putut fi compromise. Mai mult decât atât, aceeași ușă din spate găsită în plugin-ul ScreenShare-OTR a fost descoperită în Cradle, o aplicație care s-a denumit „software de mesagerie anti-forensic”.
Cradle: O presupusă furcătură de semnal
Cradle prezintă un risc mai insidios datorită asocierii sale cu Signal, una dintre cele mai de încredere aplicații de mesagerie securizată. Deși Cradle este un furk open-source al Signal, acesta nu este nici sponsorizat, nici afiliat cu Signal Foundation. În ciuda acestui fapt, a reușit să convingă utilizatorii de legitimitatea sa, parțial pentru că codul său sursă bifurcat era parțial disponibil pe GitHub.
Cu toate acestea, o inspecție mai profundă a arătat că Cradle a fost construit folosind un cod diferit de cel disponibil public. Aplicația a fost încorporată cu același cod rău intenționat ca și pluginul ScreenShare-OTR, capabil să descarce scripturi care au implementat malware-ul DarkGate. Prezența acestui malware atât în versiunea Cradle, cât și în versiunea Linux, a subliniat și mai mult riscurile pe mai multe platforme prezentate de aceste atacuri.
DarkGate: O amenințare persistentă și în evoluție
DarkGate nu este un jucător nou în ecosistemul malware. Documentat pentru prima dată în 2018, a evoluat într-o platformă sofisticată Malware-as-a-Service (MaaS). DarkGate oferă o gamă largă de capabilități, inclusiv:
- Calcularea rețelei virtuale ascunse (hVNC)
- Executarea codului de la distanță
- Criptominare
- Acces invers Shell
Malware-ul funcționează sub un model de distribuție strict controlat, disponibil doar pentru un grup select de clienți. După o perioadă de relativă repaus, DarkGate a reapărut cu răzbunare în septembrie 2023, după întreruperea și distrugerea infrastructurii Qakbot . Această renaștere a coincis cu mai multe campanii de malware de mare profil, ceea ce indică faptul că DarkGate a devenit un instrument preferat în rândul infractorilor cibernetici.
Malware DarkGate: vectori de infecție și impact global
Revenirea lui DarkGate a fost marcată de distribuția sa pe scară largă în diferiți vectori. Din august 2023, cercetătorii în domeniul securității cibernetice au observat numeroase campanii care folosesc diferite metode de infectare a victimelor cu DarkGate:
- Teams Chats : Victimele au fost păcălite să descarce programul de instalare DarkGate prin link-uri trimise prin Microsoft Teams.
- Atașamente de e-mail : E-mailurile care conțineau arhive cabinet (.cab) au fost folosite pentru a atrage victimele să descarce și să execute conținut nesigur.
- Încărcare laterală a DLL : au fost exploatate programe legitime pentru a încărca lateral DarkGate prin biblioteci de linkuri dinamice (DLL).
- PDF-uri corupte : atașamentele PDF cu link-uri către arhive ZIP care conțin fișiere de comandă rapidă Windows (.lnk) au fost folosite pentru a implementa DarkGate.
- Fișiere de arhivă Java (.jar) : gazdele vulnerabile au fost infectate prin fișierele de arhivă Java.
- Fișiere HTML: utilizatorii au fost înșelați să copieze și să lipească scripturi rău intenționate din fișiere HTML în bara Windows Run.
- Reclame frauduloase : campaniile bazate pe reclame au distribuit malware DarkGate utilizatorilor nebănuiți.
- Partajări de fișiere deschise Samba: Serverele care rulează partajări de fișiere Samba deschise au fost folosite pentru a găzdui fișiere pentru infecțiile DarkGate.
Acoperire și impact global
Aceste campanii nu au fost limitate la o anumită regiune. Infecțiile DarkGate au fost raportate în America de Nord, Europa și părți semnificative din Asia. Capacitatea malware-ului de a se adapta la diferite mecanisme de livrare și tehnicile sale avansate de evaziune l-au făcut un adversar formidabil pentru profesioniștii în securitate cibernetică din întreaga lume.
În ianuarie 2024, DarkGate a lansat a șasea versiune majoră, cu eșantionul descoperit identificat ca versiunea 6.1.6. Această dezvoltare și perfecționare continuă subliniază persistența amenințării și importanța vigilenței în detectarea și atenuarea unor astfel de atacuri.
Concluzie: Consolidarea apărărilor împotriva amenințărilor în evoluție
Campaniile recente de malware care vizează utilizatorii Pidgin și Cradle evidențiază evoluția tacticilor folosite de infractorii cibernetici. Utilizarea aplicațiilor și pluginurilor aparent legitime ca vectori pentru furnizarea de programe malware sofisticate precum DarkGate subliniază necesitatea unor măsuri solide de securitate cibernetică. Utilizatorii trebuie să fie precauți atunci când descarcă pluginuri sau aplicații terțe, chiar și din surse aparent de renume. Între timp, dezvoltatorii și profesioniștii în securitate trebuie să conlucreze pentru a consolida securitatea ecosistemelor software, asigurându-se că astfel de amenințări sunt identificate și neutralizate înainte ca acestea să poată provoca daune larg răspândite.
Într-o epocă în care instrumentele de comunicare digitală sunt omniprezente, mizele nu au fost niciodată mai mari. Pe măsură ce actorii amenințărilor continuă să inoveze, la fel trebuie să facă și apărările noastre. Lupta împotriva programelor malware precum DarkGate este în desfășurare, dar cu o conștientizare din ce în ce mai mare și cu obiceiuri proactive, putem rămâne cu un pas înaintea atacatorilor.
