Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerni vtičnik Pidgin

Zlonamerni vtičnik Pidgin

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:
Slovenščina

Digitalna pokrajina se nenehno razvija, aplikacije za neposredno sporočanje pa postajajo sestavni del osebne in poklicne komunikacije. Vendar pa so te platforme postale tudi glavne tarče akterjev groženj. Nedavni incidenti kibernetske varnosti so poudarili nevarnosti, ki se skrivajo v široko uporabljanih aplikacijah za sporočanje, s prefinjenimi kampanjami zlonamerne programske opreme, ki ciljajo na nič hudega sluteče uporabnike. Ta članek raziskuje porast teh groženj in se osredotoča na dva pomembna primera: grozeči vtičnik Pidgin in ogroženo razcepitev aplikacije Signal.

Infiltracija vtičnika Pidgin

22. avgusta 2024 je Pidgin, priljubljena odprtokodna aplikacija za sporočanje, razkrila, da se je poškodovani vtičnik z imenom ScreenShare-OTR (ss-otr) infiltriral na njen uradni seznam vtičnikov tretjih oseb. Ugotovljeno je bilo, da vtičnik, ki se je tržil kot orodje za skupno rabo zaslona prek protokola za pošiljanje sporočil OTR (Off-the-Record), vsebuje nečedno kodo. Sprva je šlo neopaženo zaradi odsotnosti izvorne kode in razpoložljivosti samo binarnih datotek za prenos – kritičen spregled, ki je omogočil neopaženo širjenje grožnje.

Nevarne zmožnosti so odkrite

Temeljita analiza raziskovalcev kibernetske varnosti je odkrila pravo naravo vtičnika ScreenShare-OTR. Preiskava je pokazala, da je bil vtičnik zasnovan za izvajanje več zlonamernih dejavnosti:

  • Keylogging : Vtičnik lahko beleži pritiske tipk in zajema občutljive informacije, kot so gesla in zasebna sporočila.
  • Skupna raba posnetkov zaslona : vtičnik je posnel posnetke zaslona in jih poslal svojim operaterjem, s čimer bi lahko razkril zaupne podatke.
  • Prenos in izvajanje goljufivih binarnih datotek : Vtičnik je povezan s strežnikom, ki ga nadzorujejo kriminalci, za prenos in izvajanje nadaljnjih nevarnih uporabnih obremenitev, vključno s skriptom PowerShell in zlonamerno zlonamerno programsko opremo DarkGate .

Namestitveni program vtičnika je bil podpisan z zakonitim potrdilom, izdanim poljskemu podjetju, kar mu je dalo pristnost, ki je verjetno pomagala obiti varnostne ukrepe. Različici vtičnika za Windows in Linux sta pokazali podobno zlonamerno vedenje, kar kaže na grožnjo med platformami, ki jo predstavlja ta napad.

Širše posledice

Nadaljnja preiskava je pokazala, da je spletno mesto, ki gosti nevarne koristne obremenitve, maskirano kot zakonito skladišče vtičnikov. Ponujal je tudi druge priljubljene vtičnike, kot so OMEMO, Pidgin Paranoia in Window Merge, ki bi lahko bili ogroženi. Še več, ista zadnja vrata, ki jih najdemo v vtičniku ScreenShare-OTR, so odkrili v Cradle, aplikaciji, ki se je predstavljala kot "programska oprema za sodno sporočanje".

Zibelka: domnevne signalne vilice

Cradle predstavlja bolj zahrbtno tveganje zaradi svoje povezave s Signalom, eno najbolj zaupanja vrednih aplikacij za varno sporočanje. Čeprav je Cradle odprtokodna razcepka Signala, ga ne sponzorira niti ni povezan s Signal Foundation. Kljub temu je uporabnike uspel prepričati o svoji legitimnosti, deloma zato, ker je bila njegova razcepljena izvorna koda delno na voljo na GitHubu.

Vendar pa je globlji pregled razkril, da je bil Cradle zgrajen z drugačno kodo od tiste, ki je bila javno dostopna. V aplikacijo je bila vdelana ista zlonamerna koda kot vtičnik ScreenShare-OTR, zmožen prenašati skripte, ki so uvedli zlonamerno programsko opremo DarkGate. Prisotnost te zlonamerne programske opreme v različicah Cradle za Windows in Linux je dodatno poudarila medplatformska tveganja, ki jih predstavljajo ti napadi.

DarkGate: Vztrajna in razvijajoča se grožnja

DarkGate ni nov igralec v ekosistemu zlonamerne programske opreme. Prvič dokumentiran leta 2018, se je razvil v sofisticirano platformo Malware-as-a-Service (MaaS). DarkGate ponuja široko paleto zmogljivosti, vključno z:

  • Računalništvo v skritem navideznem omrežju (hVNC)
  • Oddaljeno izvajanje kode
  • Kripto rudarjenje
  • Povratni dostop lupine

Zlonamerna programska oprema deluje pod strogo nadzorovanim distribucijskim modelom, ki je na voljo samo izbrani skupini strank. Po obdobju relativnega mirovanja se je DarkGate znova pojavil z maščevanjem septembra 2023 po motnjah in uničenju infrastrukture Qakbot . Ta oživitev je sovpadla z več odmevnimi kampanjami zlonamerne programske opreme, kar kaže, da je DarkGate postal priljubljeno orodje med kiberkriminalci.

Zlonamerna programska oprema DarkGate: vektorji okužbe in globalni vpliv

Ponovni vzpon DarkGate-a je zaznamovala njegova razširjena distribucija po različnih vektorjih. Od avgusta 2023 so raziskovalci kibernetske varnosti opazili številne kampanje, ki uporabljajo različne metode za okužbo žrtev z DarkGate:

  • Klepeti Teams : Žrtve so bile zavedene v prenos namestitvenega programa DarkGate prek povezav, poslanih prek Microsoft Teams.
  • E-poštne priloge : E-poštna sporočila, ki vsebujejo arhive cabinet (.cab), so bila uporabljena za zvabljanje žrtev v prenos in izvajanje nevarne vsebine.
  • Stransko nalaganje DLL : zakoniti programi so bili izkoriščeni za stransko nalaganje DarkGate prek dinamičnih povezovalnih knjižnic (DLL).
  • Poškodovani dokumenti PDF : priloge PDF s povezavami do arhivov ZIP, ki vsebujejo datoteke z bližnjicami Windows (.lnk), so bile uporabljene za uvedbo DarkGate.
  • Arhivske datoteke Java (.jar) : Ranljivi gostitelji so bili okuženi prek arhivskih datotek Java.
  • Datoteke HTML: Uporabniki so bili zavedeni, da so kopirali in prilepili zlonamerne skripte iz datotek HTML v vrstico Windows Run.
  • Goljufivi oglasi : Kampanje, ki temeljijo na oglasih, so nič hudega slutečim uporabnikom razdelile zlonamerno programsko opremo DarkGate.
  • Odprte deljene datoteke Samba: strežniki, ki izvajajo odprte deljene datoteke Samba, so bili uporabljeni za gostovanje datotek za okužbe DarkGate.

Globalni doseg in vpliv

Te akcije niso bile omejene na določeno regijo. Poročali so o okužbah z DarkGate v Severni Ameriki, Evropi in pomembnih delih Azije. Sposobnost zlonamerne programske opreme, da se prilagodi različnim dostavnim mehanizmom, in njene napredne tehnike izogibanja so jo naredile za mogočnega nasprotnika strokovnjakov za kibernetsko varnost po vsem svetu.

Januarja 2024 je DarkGate izdal svojo šesto glavno različico, pri čemer je nepokriti vzorec identificiran kot različica 6.1.6. Ta stalen razvoj in izpopolnjevanje poudarjata vztrajnost grožnje in pomen budnosti pri odkrivanju in ublažitvi takih napadov.

Zaključek: Krepitev obrambe pred razvijajočimi se grožnjami

Nedavne kampanje zlonamerne programske opreme, ki ciljajo na uporabnike Pidgin in Cradle, poudarjajo razvijajoče se taktike kibernetskih kriminalcev. Uporaba na videz zakonitih aplikacij in vtičnikov kot vektorjev za dostavo sofisticirane zlonamerne programske opreme, kot je DarkGate, poudarja potrebo po robustnih ukrepih kibernetske varnosti. Uporabniki morajo biti previdni pri prenosu vtičnikov ali aplikacij tretjih oseb, tudi iz na videz uglednih virov. Medtem pa morajo razvijalci in varnostni strokovnjaki sodelovati pri krepitvi varnosti programskih ekosistemov in zagotoviti, da so takšne grožnje prepoznane in nevtralizirane, preden lahko povzročijo obsežno škodo.

V dobi, ko so digitalna komunikacijska orodja vseprisotna, vložki še nikoli niso bili višji. Ker akterji groženj še naprej uvajajo inovacije, mora tudi naša obramba. Boj proti zlonamerni programski opremi, kot je DarkGate, še poteka, vendar s postopno večjo ozaveščenostjo in proaktivnimi navadami lahko ostanemo korak pred napadalci.

V trendu

Najbolj gledan

E-poštna prevara 'Geek Squad'

Lažno predstavljanje, Neželena pošta
37,953
Geek Squad, priljubljeni ponudnik tehnične podpore, je postal žrtev lažnega predstavljanja, imenovane Geek Squad Email Scam. Ta prevara tehnične podpore uporablja lažna e-poštna sporočila, ki ljudi zavedejo, da izdajo svoje osebne podatke, kot so podatki o kreditni kartici, e-poštni naslovi in celo številke socialnega zavarovanja. V tem članku bomo razpravljali o sami prevari, kako izgleda, od...
Nalaganje...