Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý doplnok Pidgin

Škodlivý doplnok Pidgin

Do roku Mezo v roku Malvér
Preložiť do:
Slovenčina

Digitálne prostredie sa neustále vyvíja a aplikácie na odosielanie okamžitých správ sa stávajú neoddeliteľnou súčasťou osobnej a profesionálnej komunikácie. Tieto platformy sa však stali aj hlavnými cieľmi aktérov hrozieb. Nedávne incidenty v oblasti kybernetickej bezpečnosti poukázali na nebezpečenstvo číhajúce v široko používaných aplikáciách na odosielanie správ so sofistikovanými kampaňami proti malvéru, ktoré sa zameriavajú na nič netušiacich používateľov. Tento článok skúma nárast týchto hrozieb so zameraním na dva významné prípady: hroziaci doplnok Pidgin a kompromitovaný fork aplikácie Signal.

Infiltrácia doplnku Pidgin

Dňa 22. augusta 2024 Pidgin, populárna aplikácia na odosielanie správ s otvoreným zdrojom, odhalila, že poškodený doplnok s názvom ScreenShare-OTR (ss-otr) prenikol do jej oficiálneho zoznamu doplnkov tretích strán. Zistilo sa, že doplnok, ktorý bol predávaný ako nástroj na zdieľanie obrazovky cez protokol zasielania správ Off-the-Record (OTR), obsahuje škodlivý kód. Spočiatku to zostalo nepovšimnuté kvôli absencii zdrojového kódu a dostupnosti iba binárnych súborov na stiahnutie – kritický prehliadnutie, ktoré umožnilo nepozorované šírenie hrozby.

Odhalené hroziace schopnosti

Dôkladná analýza výskumníkov v oblasti kybernetickej bezpečnosti odhalila skutočnú povahu doplnku ScreenShare-OTR. Vyšetrovanie odhalilo, že doplnok bol navrhnutý na vykonávanie niekoľkých škodlivých činností:

  • Keylogging : Plugin mohol zaznamenávať stlačenia klávesov a zachytávať citlivé informácie, ako sú heslá a súkromné správy.
  • Zdieľanie snímok obrazovky : Doplnok urobil snímky obrazovky a odoslal ich svojim prevádzkovateľom, čím potenciálne odhalil dôverné informácie.
  • Sťahovanie a spúšťanie podvodných binárnych súborov : Doplnok je pripojený k serveru kontrolovanému zločincom, aby mohol sťahovať a spúšťať ďalšie nebezpečné dáta, vrátane skriptu PowerShell a notoricky známeho malvéru DarkGate .

Inštalačný program doplnku bol podpísaný legitímnym certifikátom vydaným poľskej spoločnosti, čo mu prepožičiavalo ryhu pravosti, ktorá pravdepodobne pomohla obísť bezpečnostné opatrenia. Verzie doplnku pre Windows aj Linux vykazovali podobné škodlivé správanie, čo demonštrovalo multiplatformovú hrozbu, ktorú tento útok predstavuje.

Širšie dôsledky

Ďalšie vyšetrovanie odhalilo, že stránka, na ktorej sa nachádzajú nebezpečné užitočné zaťaženia, sa vydávala za legitímne úložisko doplnkov. Ponúkal aj ďalšie populárne doplnky ako OMEMO, Pidgin Paranoia a Window Merge, ktoré mohli byť napadnuté. Navyše, tie isté zadné vrátka, ktoré sa nachádzajú v zásuvnom module ScreenShare-OTR, boli objavené v Cradle, aplikácii, ktorá sa označovala ako „antiforenzný softvér na odosielanie správ“.

Kolíska: Predpokladaná signálna vidlica

Cradle predstavuje zákernejšie riziko kvôli spojeniu so Signal, jednou z najdôveryhodnejších aplikácií na bezpečné odosielanie správ. Hoci Cradle je open source fork spoločnosti Signal, nie je sponzorovaná ani pridružená k Nadácii Signal. Napriek tomu sa mu podarilo presvedčiť používateľov o svojej legitimite, čiastočne preto, že jeho rozvetvený zdrojový kód bol čiastočne dostupný na GitHub.

Hlbšia kontrola však odhalila, že Cradle bol vytvorený pomocou iného kódu, než aký bol verejne dostupný. Do aplikácie bol vložený rovnaký škodlivý kód ako doplnok ScreenShare-OTR, ktorý je schopný sťahovať skripty, ktoré nasadili malvér DarkGate. Prítomnosť tohto malvéru vo verziách Cradle pre Windows aj Linux ešte viac zdôraznila multiplatformové riziká, ktoré tieto útoky predstavujú.

DarkGate: Trvalá a vyvíjajúca sa hrozba

DarkGate nie je novým hráčom v malvérovom ekosystéme. Prvýkrát zdokumentovaný v roku 2018 sa vyvinul do sofistikovanej platformy Malware-as-a-Service (MaaS). DarkGate ponúka širokú škálu možností, vrátane:

  • Skrytá virtuálna sieť (hVNC)
  • Vzdialené spustenie kódu
  • Cryptomining
  • Reverse Shell Access

Malvér funguje na základe prísne kontrolovaného distribučného modelu, ktorý je dostupný len pre vybranú skupinu zákazníkov. Po období relatívnej nečinnosti sa DarkGate znovu objavil s pomstou v septembri 2023 po prerušení a odstránení infraštruktúry Qakbot . Toto oživenie sa zhodovalo s niekoľkými vysokoprofilovými kampaňami proti malvéru, čo naznačuje, že DarkGate sa stal obľúbeným nástrojom medzi kyberzločincami.

The DarkGate Malware: Infekčné vektory a globálny dopad

Oživenie DarkGate bolo poznačené jeho rozšírenou distribúciou medzi rôznymi vektormi. Od augusta 2023 výskumníci v oblasti kybernetickej bezpečnosti pozorovali množstvo kampaní využívajúcich rôzne metódy na infikovanie obetí pomocou DarkGate:

  • Teams Chats : Obete boli oklamané, aby si stiahli inštalačný program DarkGate prostredníctvom odkazov odoslaných cez Microsoft Teams.
  • E-mailové prílohy : E-maily obsahujúce archívy kabinetu (.cab) sa používali na nalákanie obetí na stiahnutie a spustenie nebezpečného obsahu.
  • DLL Sideloading : Legitímne programy boli zneužité na bočné načítanie DarkGate prostredníctvom dynamických knižníc (DLL).
  • Poškodené PDF : Na nasadenie DarkGate boli použité PDF prílohy s odkazmi na ZIP archívy obsahujúce Windows skratky (.lnk).
  • Súbory Java Archive (.jar) : Zraniteľní hostitelia boli infikovaní prostredníctvom archívnych súborov Java.
  • Súbory HTML: Používatelia boli oklamaní, aby skopírovali a prilepili škodlivé skripty zo súborov HTML do lišty spustenia systému Windows.
  • Podvodné reklamy : Kampane založené na reklame šírili škodlivý softvér DarkGate medzi nič netušiacich používateľov.
  • Otvorené zdieľanie súborov Samba: Servery s otvorenými zdieľanými súbormi Samba boli použité na hosťovanie súborov pre infekcie DarkGate.

Globálny dosah a vplyv

Tieto kampane neboli obmedzené na konkrétny región. Infekcie DarkGate boli hlásené v Severnej Amerike, Európe a významných častiach Ázie. Schopnosť malvéru prispôsobiť sa rôznym mechanizmom doručovania a jeho pokročilé techniky úniku z neho urobili impozantného protivníka pre profesionálov v oblasti kybernetickej bezpečnosti na celom svete.

V januári 2024 DarkGate vydal svoju šiestu hlavnú verziu, pričom odkrytá vzorka bola označená ako verzia 6.1.6. Tento neustály vývoj a zdokonaľovanie podčiarkujú pretrvávanie hrozby a dôležitosť ostražitosti pri odhaľovaní a zmierňovaní takýchto útokov.

Záver: Posilnenie obrany proti vyvíjajúcim sa hrozbám

Nedávne malvérové kampane zamerané na používateľov Pidgin a Cradle poukazujú na vyvíjajúcu sa taktiku používanú kybernetickými zločincami. Použitie zdanlivo legitímnych aplikácií a doplnkov ako vektorov na poskytovanie sofistikovaného malvéru, akým je DarkGate, podčiarkuje potrebu robustných opatrení v oblasti kybernetickej bezpečnosti. Používatelia musia byť opatrní pri sťahovaní doplnkov alebo aplikácií tretích strán, a to aj zo zdanlivo renomovaných zdrojov. Medzitým musia vývojári a odborníci na bezpečnosť spolupracovať na posilnení bezpečnosti softvérových ekosystémov a zabezpečiť, že takéto hrozby budú identifikované a neutralizované skôr, ako môžu spôsobiť rozsiahle škody.

Vo veku, keď sú nástroje digitálnej komunikácie všadeprítomné, sa nikdy nehralo vyššie. Tak ako aktéri hrozieb pokračujú v inováciách, tak musí aj naša obrana. Boj proti malvéru, akým je DarkGate, prebieha, ale s postupne sa zvyšujúcou informovanosťou a proaktívnymi návykmi môžeme zostať o krok pred útočníkmi.

Trendy

Najviac videné

Vyskakovacie okná „Ak máte 18 rokov, klepnite na...

Falošné varovné správy
29,609
Vyskakovacie okná „Ak máte 18 rokov“ sú typom kontextových reklám, ktoré sa zobrazujú na obrazovke používateľa pri prehliadaní internetu. Tieto kontextové okná môžu byť pre používateľov dosť alarmujúce, pretože ich vyzývajú, aby klikli na tlačidlo „povoliť“, aby mohli pokračovať v používaní webovej stránky, na ktorej sa práve nachádzajú. Tieto kontextové okná sú spojené s takými nežiaducimi...
Načítava...