Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Malicious Pidgin Plugin

Malicious Pidgin Plugin

Nga MezoMalware
Përkthe në:
Shqip

Peizazhi dixhital është gjithnjë në zhvillim, me aplikacionet e mesazheve të çastit që bëhen pjesë përbërëse e komunikimit personal dhe profesional. Megjithatë, këto platforma janë bërë gjithashtu objektiva kryesore për aktorët e kërcënimit. Incidentet e fundit të sigurisë kibernetike kanë nxjerrë në pah rreziqet që fshihen në aplikacionet e mesazheve të përdorura gjerësisht, me fushata të sofistikuara malware që synojnë përdoruesit që nuk dyshojnë. Ky artikull eksploron rritjen e këtyre kërcënimeve, duke u fokusuar në dy raste domethënëse: shtojca kërcënuese Pidgin dhe një pirun i komprometuar i aplikacionit Signal.

Infiltrimi i shtojcave Pidgin

Më 22 gusht 2024, Pidgin, një aplikacion i njohur i mesazheve me burim të hapur, zbuloi se një shtojcë e korruptuar e quajtur ScreenShare-OTR (ss-otr) kishte depërtuar në listën e saj zyrtare të shtojcave të palëve të treta. Shtojca, e cila u tregtua si një mjet për ndarjen e ekranit përmes protokollit të mesazheve Off-the-Record (OTR), u zbulua se përmbante kod të poshtër. Fillimisht, ai kaloi pa u vënë re për shkak të mungesës së kodit burimor dhe disponueshmërisë së vetëm skedarëve binare për shkarkim - një mbikëqyrje kritike që lejoi që kërcënimi të përhapej pa u zbuluar.

Zbulohen aftësitë kërcënuese

Një analizë e plotë nga studiuesit e sigurisë kibernetike zbuloi natyrën e vërtetë të shtojcës ScreenShare-OTR. Hetimi zbuloi se shtojca ishte krijuar për të kryer disa aktivitete me qëllim të keq:

  • Regjistrimi i tastierëve : Shtojca mund të regjistrojë goditjet e tasteve, duke kapur informacione të ndjeshme si fjalëkalimet dhe mesazhet private.
  • Ndarja e pamjes së ekranit : Shtojca mori pamje nga ekrani dhe ua dërgoi operatorëve të saj, duke ekspozuar potencialisht informacione konfidenciale.
  • Shkarkimi dhe Ekzekutimi i Binareve Mashtruese : Shtojca është e lidhur me një server të kontrolluar nga krimi për të shkarkuar dhe ekzekutuar ngarkesa të tjera të pasigurta, duke përfshirë një skript PowerShell dhe malware famëkeq DarkGate .

Instaluesi i shtojcës u nënshkrua me një certifikatë legjitime të lëshuar për një kompani polake, duke i dhënë asaj një rimeso autenticiteti që ka të ngjarë të ndihmojë në anashkalimin e masave të sigurisë. Të dy versionet Windows dhe Linux të shtojcës shfaqën sjellje të ngjashme me qëllim të keq, duke demonstruar kërcënimin ndër-platformë të paraqitur nga ky sulm.

Implikimet më të gjera

Hetimi i mëtejshëm zbuloi se faqja që pret ngarkesat e pasigurta u maskua si një depo e ligjshme e shtojcave. Ai ofroi gjithashtu shtojca të tjera të njohura si OMEMO, Pidgin Paranoia dhe Window Merge, të cilat mund të ishin komprometuar. Për më tepër, e njëjta derë e pasme e gjetur në shtojcën ScreenShare-OTR u zbulua në Cradle, një aplikacion që e cilësonte veten si 'softuer i mesazheve kundër mjekësisë ligjore'.

Djepi: Një pirun i supozuar i sinjalit

Cradle paraqet një rrezik më të fshehtë për shkak të lidhjes së tij me Signal, një nga aplikacionet më të besueshme të mesazheve të sigurta. Megjithëse Cradle është një fork me burim të hapur i Signal, ai nuk sponsorizohet dhe as nuk është i lidhur me Signal Foundation. Përkundër kësaj, ai arriti të bindë përdoruesit për legjitimitetin e tij, pjesërisht për shkak se kodi i tij burimor i pirun ishte pjesërisht i disponueshëm në GitHub.

Megjithatë, një inspektim më i thellë zbuloi se Cradle ishte ndërtuar duke përdorur një kod të ndryshëm nga ai që ishte i disponueshëm publikisht. Aplikacioni ishte i integruar me të njëjtin kod keqdashës si shtojca ScreenShare-OTR, e aftë për të shkarkuar skriptet që vendosën malware DarkGate. Prania e këtij malware në të dy versionet Windows dhe Linux të Cradle nënvizoi më tej rreziqet ndër-platformë të paraqitura nga këto sulme.

DarkGate: Një kërcënim i vazhdueshëm dhe në zhvillim

DarkGate nuk është një lojtar i ri në ekosistemin e malware. Dokumentuar për herë të parë në vitin 2018, ai ka evoluar në një platformë të sofistikuar Malware-as-a-Service (MaaS). DarkGate ofron një gamë të gjerë aftësish, duke përfshirë:

  • Llogaritja e rrjetit virtual të fshehur (hVNC)
  • Ekzekutimi i kodit në distancë
  • Kriptominimi
  • Reverse Shell Access

Malware funksionon sipas një modeli shpërndarjeje të kontrolluar fort, i disponueshëm vetëm për një grup të zgjedhur klientësh. Pas një periudhe të përgjumjes relative, DarkGate u rishfaq me një hakmarrje në shtator 2023 pas ndërprerjes dhe shkatërrimit të infrastrukturës Qakbot . Kjo ringjallje përkoi me disa fushata të profilit të lartë malware, duke treguar se DarkGate ishte bërë një mjet i favorizuar në mesin e kriminelëve kibernetikë.

Malware DarkGate: Vektorët e Infeksionit dhe Ndikimi Global

Ringjallja e DarkGate është shënuar nga shpërndarja e tij e gjerë nëpër vektorë të ndryshëm. Që nga gushti 2023, studiuesit e sigurisë kibernetike kanë vëzhguar fushata të shumta që përdorin metoda të ndryshme për të infektuar viktimat me DarkGate:

  • Teams Chats : Viktimat u mashtruan për të shkarkuar instaluesin e DarkGate nëpërmjet lidhjeve të dërguara përmes Microsoft Teams.
  • Bashkëngjitjet me email : Email-et që përmbajnë arkivat e kabinetit (.cab) janë përdorur për të joshur viktimat në shkarkimin dhe ekzekutimin e përmbajtjeve të pasigurta.
  • Ngarkimi anësor i DLL : Programet legjitime u shfrytëzuan për të ngarkuar anësor DarkGate nëpërmjet bibliotekave të lidhjeve dinamike (DLL).
  • PDF-të e korruptuara : bashkëngjitjet PDF me lidhje në arkivat ZIP që përmbajnë skedarë të shkurtoreve të Windows (.lnk) janë përdorur për të vendosur DarkGate.
  • Skedarët e arkivit Java (.jar) : Pritësit e cenueshëm u infektuan përmes skedarëve të arkivit Java.
  • Skedarët HTML: Përdoruesit u mashtruan duke kopjuar dhe ngjitur skriptet me qëllim të keq nga skedarët HTML në shiritin e Windows Run.
  • Reklamat mashtruese : Fushatat e bazuara në reklama shpërndanë malware DarkGate tek përdoruesit që nuk dyshojnë.
  • Hapni Ndarjet e Skedarit Samba: Serverët që ekzekutojnë ndarje të hapura të skedarëve Samba u përdorën për të pritur skedarë për infeksionet e DarkGate.

Shtrirja dhe ndikimi global

Këto fushata nuk janë kufizuar në një rajon të caktuar. Infeksionet e DarkGate janë raportuar në Amerikën e Veriut, Evropë dhe pjesë të konsiderueshme të Azisë. Aftësia e malware për t'u përshtatur me mekanizma të ndryshëm shpërndarjeje dhe teknikat e tij të avancuara të evazionit e kanë bërë atë një kundërshtar të frikshëm për profesionistët e sigurisë kibernetike në mbarë botën.

Në janar 2024, DarkGate lëshoi versionin e tij të gjashtë kryesor, me mostrën e zbuluar të identifikuar si versioni 6.1.6. Ky zhvillim dhe përsosje e vazhdueshme nënvizon këmbënguljen e kërcënimit dhe rëndësinë e vigjilencës në zbulimin dhe zbutjen e sulmeve të tilla.

Përfundim: Forcimi i mbrojtjeve kundër kërcënimeve në zhvillim

Fushatat e fundit të malware që synojnë përdoruesit e Pidgin dhe Cradle nxjerrin në pah taktikat në zhvillim të përdorura nga kriminelët kibernetikë. Përdorimi i aplikacioneve dhe shtojcave në dukje legjitime si vektorë për ofrimin e malware të sofistikuar si DarkGate nënvizon nevojën për masa të fuqishme të sigurisë kibernetike. Përdoruesit duhet të tregojnë kujdes kur shkarkojnë shtojca ose aplikacione të palëve të treta, madje edhe nga burime në dukje me reputacion. Ndërkohë, zhvilluesit dhe profesionistët e sigurisë duhet të punojnë së bashku për të forcuar sigurinë e ekosistemeve të softuerit, duke siguruar që kërcënime të tilla të identifikohen dhe neutralizohen përpara se të shkaktojnë dëme të përhapura.

Në një epokë ku mjetet e komunikimit dixhital janë të kudondodhura, aksionet nuk kanë qenë kurrë më të larta. Ndërsa aktorët e kërcënimit vazhdojnë të inovojnë, po ashtu duhet edhe mbrojtja jonë. Beteja kundër malware si DarkGate është në vazhdim, por me një vetëdije më të madhe progresive dhe zakone proaktive, ne mund të qëndrojmë një hap përpara sulmuesve.

Në trend

Më e shikuara

Po ngarkohet...