Попуст за више лиценци
Тхреат Датабасе Малваре Malicious Pidgin Plugin

Malicious Pidgin Plugin

До Mezo. у Малваре
Преведи на:
Српски

Дигитални пејзаж се стално развија, са апликацијама за размену тренутних порука које постају саставни део личне и професионалне комуникације. Међутим, ове платформе су такође постале главне мете за актере претњи. Недавни инциденти у вези са сајбер-безбедношћу истакли су опасности које вребају у широко коришћеним апликацијама за размену порука, са софистицираним кампањама за малвер који циљају несуђене кориснике. Овај чланак истражује пораст ових претњи, фокусирајући се на два значајна случаја: претећи додатак Пидгин и компромитовану виљушку апликације Сигнал.

Инфилтрација Пидгин додатка

Дана 22. августа 2024, Пидгин, популарна апликација за размену порука отвореног кода, открила је да се оштећени додатак под називом СцреенСхаре-ОТР (сс-отр) инфилтрирао на њену званичну листу додатака треће стране. Утврђено је да додатак, који се пласирао као алатка за дељење екрана преко протокола за размену порука ван снимања (ОТР), садржи подли код. У почетку је то прошло непримећено због одсуства изворног кода и доступности само бинарних датотека за преузимање — критичан превид који је омогућио да се претња неоткривено прошири.

Претеће могућности откривене

Темељна анализа истраживача сајбер безбедности открила је праву природу додатка СцреенСхаре-ОТР. Истрага је открила да је додатак дизајниран за обављање неколико злонамерних активности:

  • Кеилоггинг : Додатак може да евидентира притиске тастера, хватајући осетљиве информације као што су лозинке и приватне поруке.
  • Дељење снимака екрана : Додатак је направио снимке екрана и послао их својим оператерима, потенцијално откривајући поверљиве информације.
  • Преузимање и извршавање лажних бинарних датотека : Додатак је повезан са сервером под контролом криминала да би преузео и извршио даље небезбедно оптерећење, укључујући ПоверСхелл скрипту и озлоглашени ДаркГате малвер.

Програм за инсталацију додатка је потписан легитимним сертификатом издатим пољској компанији, што јој даје изглед аутентичности који је вероватно помогао да се заобиђу мере безбедности. И Виндовс и Линук верзије додатка су показале слично злонамерно понашање, демонстрирајући вишеплатформску претњу коју представља овај напад.

Шире импликације

Даља истрага је открила да је сајт који хостује несигурне корисне податке маскиран као легитимно спремиште додатака. Такође је понудио друге популарне додатке као што су ОМЕМО, Пидгин Параноиа и Виндов Мерге, који су могли бити угрожени. Штавише, исти бацкдоор који се налази у додатку СцреенСхаре-ОТР откривен је у Црадле-у, апликацији која се наплаћивала као 'анти-форензички софтвер за размену порука'.

Колевка: Претпостављена сигнална виљушка

Црадле представља подмуклији ризик због повезаности са Сигналом, једном од најпоузданијих апликација за безбедну размену порука. Иако је Црадле форк Сигнала отвореног кода, није ни спонзорисан ни повезан са Сигнал Фоундатион. Упркос томе, успео је да убеди кориснике у своју легитимност, делом зато што је његов рачвасти изворни код био делимично доступан на ГитХубу.

Међутим, дубља инспекција је открила да је Црадле изграђен користећи другачији код од онога што је јавно доступно. Апликација је била уграђена са истим злонамерним кодом као додатак СцреенСхаре-ОТР, способан да преузме скрипте које су примениле ДаркГате малвер. Присуство овог злонамерног софтвера иу Виндовс иу Линук верзији Црадле-а додатно је нагласило ризике на више платформи које представљају ови напади.

ДаркГате: Упорна претња која се развија

ДаркГате није нови играч у екосистему малвера. Први пут документован 2018. године, еволуирао је у софистицирану платформу Малваре-ас-а-Сервице (МааС). ДаркГате нуди широк спектар могућности, укључујући:

  • Скривено виртуелно мрежно рачунарство (хВНЦ)
  • Даљинско извршење кода
  • Цриптомининг
  • Реверсе Схелл Аццесс

Малвер функционише под строго контролисаним моделом дистрибуције, који је доступан само одабраној групи купаца. Након периода релативног мировања, ДаркГате се поново појавио у септембру 2023. након прекида и уклањања Какбот инфраструктуре. Ово поновно појављивање поклопило се са неколико високопрофилних кампања злонамерног софтвера, што указује да је ДаркГате постао омиљено средство међу сајбер криминалцима.

Злонамерни софтвер ДаркГате: Вектори инфекције и глобални утицај

Оживљавање ДаркГате-а је обележено његовом широко распрострањеном дистрибуцијом у различитим векторима. Од августа 2023, истраживачи сајбер безбедности су приметили бројне кампање које користе различите методе за заразу жртава ДаркГате-ом:

  • Тимски разговори : Жртве су преварене да преузму ДаркГате инсталатер преко веза послатих преко Мицрософт Теамс-а.
  • Прилози е-поште : е-поруке које садрже архиве кабинета (.цаб) коришћене су да би се жртве намамили на преузимање и извршавање небезбедног садржаја.
  • ДЛЛ бочно учитавање : Легитимни програми су искоришћени за бочно учитавање ДаркГате-а преко библиотека са динамичким везама (ДЛЛ).
  • Оштећени ПДФ-ови : ПДФ прилози са везама до ЗИП архива које садрже датотеке Виндовс пречица (.лнк) коришћене су за примену ДаркГате-а.
  • Јава архивске (.јар) датотеке : Рањиви хостови су заражени преко Јава архивских датотека.
  • ХТМЛ датотеке: Корисници су преварени да копирају и налепе злонамерне скрипте из ХТМЛ датотека у Виндовс Рун траку.
  • Преварне рекламе : Кампање засноване на рекламама дистрибуирале су ДаркГате малвер корисницима који ништа не сумњају.
  • Опен Самба Филе Схаринг: Сервери са отвореним Самба дељенима датотекама коришћени су за хостовање датотека за ДаркГате инфекције.

Глобални досег и утицај

Ове кампање нису биле ограничене на одређени регион. ДаркГате инфекције су пријављене широм Северне Америке, Европе и значајних делова Азије. Способност малвера да се прилагоди различитим механизмима испоруке и његове напредне технике избегавања учиниле су га страшним противником за професионалце за сајбер безбедност широм света.

У јануару 2024. ДаркГате је објавио своју шесту главну верзију, са откривеним узорком идентификованим као верзија 6.1.6. Овај континуирани развој и усавршавање наглашавају постојаност претње и важност будности у откривању и ублажавању таквих напада.

Закључак: Јачање одбране од растућих претњи

Недавне кампање против малвера које циљају кориснике Пидгин-а и Црадле-а наглашавају еволуирајућу тактику коју користе сајбер-криминалци. Употреба наизглед легитимних апликација и додатака као вектора за испоруку софистицираног малвера као што је ДаркГате наглашава потребу за снажним мерама сајбер безбедности. Корисници морају бити опрезни када преузимају додатке или апликације трећих страна, чак и из наизглед реномираних извора. У међувремену, програмери и стручњаци за безбедност морају да раде заједно на јачању безбедности софтверских екосистема, обезбеђујући да се такве претње идентификују и неутралишу пре него што могу да изазову широку штету.

У доба када су дигитални комуникациони алати свеприсутни, улози никада нису били већи. Како актери претњи настављају да иновирају, тако мора и наша одбрана. Борба против малвера као што је ДаркГате је у току, али са све већом свешћу и проактивним навикама, можемо остати корак испред нападача.

У тренду

Интернет Радио

Потенцијално нежељени програми, Адваре, Отмичари претраживача
У свету који је све више међусобно повезан, безбедност ваших уређаја је критичнија него икад. Сајбер претње се развијају, а потенцијално нежељени програми (ПУП) представљају посебно варљиву...

Бансхее Стеалер

Крадљивци, Малваре
Данас су наши лични, финансијски и професионални животи замршено испреплетени са нашим уређајима, а претња од малвера се не може преценити. Сајбер криминалци непрестано унапређују своју тактику, развијајући софистициранији малвер за инфилтрирање у системе, крађу осетљивих информација и наношење значајне штете. Једна од таквих страшних претњи је Бансхее Стеалер, део малвера за крађу информација...

Најгледанији

Превара е-поште 'Геек Скуад'

Пецање, Спам
37,953
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...

Искачући прозори „Ако имате 18 година, додирните...

Лажне поруке упозорења
29,609
Искачући прозори „Ако имате 18 година, тапните дозволи“ су врста искачућих огласа који се појављују на екрану корисника када прегледава интернет. Ови искачући прозори могу бити прилично алармантни за кориснике јер их позивају да кликну на дугме „Дозволи“ да би наставили да користе веб локацију на којој се тренутно налазе. Ови искачући прозори су повезани са таквим нежељеним програмима као што...
Учитавање...