Вредоносный плагин Pidgin

Цифровой ландшафт постоянно развивается, и приложения для мгновенного обмена сообщениями становятся неотъемлемой частью личного и профессионального общения. Однако эти платформы также стали главными целями для злоумышленников. Недавние инциденты в сфере кибербезопасности выявили опасности, таящиеся в широко используемых приложениях для обмена сообщениями, с изощренными вредоносными кампаниями, нацеленными на ничего не подозревающих пользователей. В этой статье рассматривается рост этих угроз, с упором на два важных случая: угрожающий плагин Pidgin и скомпрометированная ветка приложения Signal.

Проникновение плагина Pidgin

22 августа 2024 года Pidgin, популярное приложение для обмена сообщениями с открытым исходным кодом, сообщило, что поврежденный плагин ScreenShare-OTR (ss-otr) проник в его официальный список сторонних плагинов. Плагин, который позиционировался как инструмент для совместного использования экрана по протоколу обмена сообщениями Off-the-Record (OTR), содержал вредоносный код. Первоначально он остался незамеченным из-за отсутствия исходного кода и доступности только двоичных файлов для загрузки — критическая оплошность, которая позволила угрозе распространяться незамеченной.

Раскрыты угрожающие возможности

Тщательный анализ, проведенный исследователями кибербезопасности, раскрыл истинную природу плагина ScreenShare-OTR. Расследование показало, что плагин был разработан для выполнения нескольких вредоносных действий:

• Кейлоггер : плагин может регистрировать нажатия клавиш, собирая конфиденциальную информацию, такую как пароли и личные сообщения.
• Обмен скриншотами : плагин делал скриншоты и отправлял их своим операторам, потенциально раскрывая конфиденциальную информацию.
• Загрузка и выполнение мошеннических двоичных файлов : плагин подключается к контролируемому преступниками серверу для загрузки и выполнения дополнительных небезопасных полезных нагрузок, включая скрипт PowerShell и печально известную вредоносную программу DarkGate .

Установщик плагина был подписан законным сертификатом, выданным польской компании, что придавало ему видимость подлинности, которая, вероятно, помогала обойти меры безопасности. Версии плагина для Windows и Linux демонстрировали схожее вредоносное поведение, демонстрируя кроссплатформенную угрозу, которую представляет эта атака.

Более широкие последствия

Дальнейшее расследование показало, что сайт, на котором размещались небезопасные полезные нагрузки, маскировался под легитимный репозиторий плагинов. Он также предлагал другие популярные плагины, такие как OMEMO, Pidgin Paranoia и Window Merge, которые могли быть скомпрометированы. Более того, тот же бэкдор, что и в плагине ScreenShare-OTR, был обнаружен в Cradle, приложении, которое позиционировало себя как «программное обеспечение для противодействия криминалистическому обмену сообщениями».

Колыбель: предполагаемая сигнальная вилка

Cradle представляет собой более коварный риск из-за своей связи с Signal, одним из самых надежных защищенных приложений для обмена сообщениями. Хотя Cradle является форком Signal с открытым исходным кодом, он не спонсируется и не связан с Signal Foundation. Несмотря на это, ему удалось убедить пользователей в своей легитимности, отчасти потому, что его форкнутый исходный код был частично доступен на GitHub.

Однако более глубокая проверка показала, что Cradle был создан с использованием кода, отличного от того, что был доступен публично. Приложение было встроено с тем же вредоносным кодом, что и плагин ScreenShare-OTR, способный загружать скрипты, которые развертывали вредоносное ПО DarkGate. Наличие этого вредоносного ПО в версиях Cradle как для Windows, так и для Linux еще больше подчеркнуло кроссплатформенные риски, создаваемые этими атаками.

DarkGate: постоянная и развивающаяся угроза

DarkGate — не новый игрок в экосистеме вредоносных программ. Впервые задокументированный в 2018 году, он превратился в сложную платформу Malware-as-a-Service (MaaS). DarkGate предлагает широкий спектр возможностей, включая:

• Скрытые виртуальные сетевые вычисления (hVNC)
• Удаленное выполнение кода
• Криптомайнинг
• Обратный доступ к оболочке

Вредоносное ПО работает по строго контролируемой модели распространения, доступной только избранной группе клиентов. После периода относительного бездействия DarkGate вновь появился с удвоенной силой в сентябре 2023 года после нарушения и ликвидации инфраструктуры Qakbot . Это возрождение совпало с несколькими громкими вредоносными кампаниями, что указывает на то, что DarkGate стал излюбленным инструментом среди киберпреступников.

Вредоносное ПО DarkGate: векторы заражения и глобальное влияние

Возрождение DarkGate было отмечено его широким распространением по различным векторам. С августа 2023 года исследователи кибербезопасности наблюдали многочисленные кампании, использующие различные методы для заражения жертв DarkGate:

• Чаты Teams : Жертвы были обмануты и вынуждены загрузить установщик DarkGate по ссылкам, отправленным через Microsoft Teams.
• Вложения в электронные письма : электронные письма, содержащие архивы CAB (.cab), использовались для того, чтобы склонить жертв к загрузке и запуску небезопасного контента.
• Загрузка DLL-файлов сбоку : для загрузки DarkGate сбоку использовались легальные программы с помощью динамически подключаемых библиотек (DLL).

• Поврежденные PDF-файлы : для развертывания DarkGate использовались вложения PDF-файлов со ссылками на ZIP-архивы, содержащие файлы ярлыков Windows (.lnk).

• Файлы архива Java (.jar) : Уязвимые хосты были инфицированы через файлы архива Java.

• Файлы HTML: Пользователей обманом заставляли копировать и вставлять вредоносные скрипты из файлов HTML в панель «Выполнить» Windows.

• Мошенническая реклама : рекламные кампании распространяли вредоносное ПО DarkGate среди ничего не подозревающих пользователей.

• Открытые файловые ресурсы Samba: серверы, на которых работали открытые файловые ресурсы Samba, использовались для размещения файлов для заражения DarkGate.

Глобальный охват и влияние

Эти кампании не ограничивались определенным регионом. Инфекции DarkGate были зарегистрированы в Северной Америке, Европе и значительной части Азии. Способность вредоносного ПО адаптироваться к различным механизмам доставки и его передовые методы уклонения сделали его грозным противником для профессионалов в области кибербезопасности по всему миру.

В январе 2024 года DarkGate выпустила свою шестую основную версию, а обнаруженный образец был идентифицирован как версия 6.1.6. Это постоянное развитие и совершенствование подчеркивают постоянство угрозы и важность бдительности при обнаружении и смягчении таких атак.

Заключение: Усиление защиты от развивающихся угроз

Недавние вредоносные кампании, нацеленные на пользователей Pidgin и Cradle, подчеркивают развивающуюся тактику, применяемую киберпреступниками. Использование, казалось бы, легитимных приложений и плагинов в качестве векторов для доставки сложного вредоносного ПО, такого как DarkGate, подчеркивает необходимость надежных мер кибербезопасности. Пользователи должны проявлять осторожность при загрузке сторонних плагинов или приложений, даже из, казалось бы, надежных источников. Между тем, разработчики и специалисты по безопасности должны работать вместе, чтобы усилить безопасность программных экосистем, гарантируя, что такие угрозы будут идентифицированы и нейтрализованы до того, как они смогут нанести масштабный вред.

В эпоху, когда цифровые средства коммуникации повсеместны, ставки никогда не были выше. Поскольку субъекты угроз продолжают внедрять инновации, то же самое должна делать и наша защита. Битва с вредоносными программами, такими как DarkGate, продолжается, но с постоянно растущей осведомленностью и проактивными привычками мы можем оставаться на шаг впереди злоумышленников.