Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Skadlig Pidgin-plugin

Skadlig Pidgin-plugin

Med Mezo år Skadlig programvara
Översätt till:
Svenska

Det digitala landskapet utvecklas ständigt, med applikationer för snabbmeddelanden som blir en integrerad del av personlig och professionell kommunikation. Men dessa plattformar har också blivit främsta mål för hotaktörer. De senaste cybersäkerhetsincidenterna har belyst farorna som lurar i allmänt använda meddelandeprogram, med sofistikerade skadliga kampanjer som riktar sig till intet ont anande användare. Den här artikeln utforskar uppkomsten av dessa hot, med fokus på två viktiga fall: det hotande Pidgin-pluginet och en komprometterad gaffel i Signal-applikationen.

Pidgin Plugin Infiltration

Den 22 augusti 2024 avslöjade Pidgin, ett populärt meddelandeprogram med öppen källkod, att en skadad plugin vid namn ScreenShare-OTR (ss-otr) hade infiltrerat dess officiella tredjepartsplugin-lista. Plugin-programmet, som marknadsfördes som ett verktyg för skärmdelning över meddelandeprotokollet Off-the-Record (OTR), visade sig innehålla skändlig kod. Inledningsvis gick det obemärkt förbi på grund av frånvaron av källkod och tillgängligheten av endast binära filer för nedladdning - en kritisk förbiseende som gjorde att hotet spreds oupptäckt.

Hotande förmågor upptäckts

En grundlig analys av cybersäkerhetsforskare avslöjade den sanna naturen hos ScreenShare-OTR-plugin. Undersökningen avslöjade att pluginet var utformat för att utföra flera skadliga aktiviteter:

  • Tangentloggning : Insticksprogrammet kan logga tangenttryckningar och fånga känslig information som lösenord och privata meddelanden.
  • Skärmbildsdelning : Pluginet tog skärmdumpar och skickade dem till sina operatörer, vilket potentiellt avslöjade konfidentiell information.
  • Nedladdning och exekvering av bedrägliga binärer : Insticksprogrammet är anslutet till en brottskontrollerad server för att ladda ner och köra ytterligare osäkra nyttolaster, inklusive ett PowerShell-skript och den ökända DarkGate- skadlig programvara.

Pluginens installationsprogram signerades med ett legitimt certifikat utfärdat till ett polskt företag, vilket gav den en autenticitetsfaner som troligen hjälpte till att kringgå säkerhetsåtgärder. Både Windows- och Linux-versioner av plugin-programmet uppvisade liknande skadligt beteende, vilket visar det plattformsoberoende hotet som denna attack utgör.

De bredare konsekvenserna

Ytterligare undersökningar avslöjade att webbplatsen som var värd för de osäkra nyttolasterna maskerade sig som ett legitimt plugin-förråd. Det erbjöd också andra populära plugins som OMEMO, Pidgin Paranoia och Window Merge, som kunde ha äventyrats. Dessutom upptäcktes samma bakdörr som hittades i ScreenShare-OTR-pluginen i Cradle, en applikation som fakturerade sig själv som "anti-kriminalteknisk meddelandeprogramvara."

Vagga: En förmodad signalgaffel

Cradle utgör en mer lömsk risk på grund av dess koppling till Signal, en av de mest pålitliga säkra meddelandeapplikationerna. Även om Cradle är en öppen källkodsgaffel av Signal, är den varken sponsrad av eller ansluten till Signal Foundation. Trots detta lyckades den övertyga användarna om dess legitimitet, delvis för att dess kluven källkod delvis var tillgänglig på GitHub.

En djupare inspektion visade dock att Cradle byggdes med en annan kod än vad som var tillgängligt offentligt. Applikationen var inbäddad med samma skadliga kod som ScreenShare-OTR-plugin, som kan ladda ner skript som distribuerade DarkGate-skadlig programvara. Förekomsten av denna skadliga programvara i både Windows- och Linux-versionerna av Cradle underströk ytterligare de plattformsoberoende riskerna med dessa attacker.

DarkGate: A Persistent and Evolving Threat

DarkGate är inte en ny aktör i ekosystemet för skadlig programvara. Det dokumenterades först 2018 och har utvecklats till en sofistikerad plattform för Malware-as-a-Service (MaaS). DarkGate erbjuder ett brett utbud av funktioner, inklusive:

  • Hidden Virtual Network Computing (hVNC)
  • Exekvering av fjärrkod
  • Kryptominering
  • Omvänd Shell Access

Skadlig programvara fungerar under en hårt kontrollerad distributionsmodell, endast tillgänglig för en utvald grupp kunder. Efter en period av relativ dvala återuppstod DarkGate med en hämnd i september 2023 efter avbrottet och rivningen av Qakbot- infrastrukturen. Denna återkomst sammanföll med flera högprofilerade skadliga kampanjer, vilket tyder på att DarkGate hade blivit ett favoritverktyg bland cyberbrottslingar.

DarkGate Malware: Infektionsvektorer och global påverkan

DarkGates återkomst har präglats av dess utbredda spridning över olika vektorer. Sedan augusti 2023 har cybersäkerhetsforskare observerat många kampanjer som utnyttjar olika metoder för att infektera offer med DarkGate:

  • Teams Chats : Offer lurades att ladda ner DarkGate-installationsprogrammet via länkar som skickades via Microsoft Teams.
  • E-postbilagor : E-postmeddelanden som innehöll kabinettarkiv (.cab) användes för att locka offer att ladda ner och köra osäkert innehåll.
  • DLL Sideloading : Legitima program utnyttjades för att sidladda DarkGate via dynamiska länkbibliotek (DLL).
  • Skadade PDF-filer : PDF-bilagor med länkar till ZIP-arkiv som innehåller Windows-genvägsfiler (.lnk) användes för att distribuera DarkGate.
  • Java Archive (.jar)-filer : Sårbara värdar infekterades genom Java-arkivfiler.
  • HTML-filer: Användare lurades till att kopiera och klistra in skadliga skript från HTML-filer i Windows Run-fältet.
  • Bedrägliga annonser : Annonsbaserade kampanjer distribuerade DarkGate skadlig kod till intet ont anande användare.
  • Öppna Samba-filresurser: Servrar som körde öppna Samba-filresurser användes för att vara värd för filer för DarkGate-infektioner.

Global räckvidd och inverkan

Dessa kampanjer har inte varit begränsade till en specifik region. DarkGate-infektioner har rapporterats i Nordamerika, Europa och betydande delar av Asien. Skadlig programvaras förmåga att anpassa sig till olika leveransmekanismer och dess avancerade undandragningstekniker har gjort den till en formidabel motståndare för cybersäkerhetsproffs över hela världen.

I januari 2024 släppte DarkGate sin sjätte större version, med det avslöjade provet identifierat som version 6.1.6. Denna kontinuerliga utveckling och förfining understryker hotets ihållande och vikten av vaksamhet för att upptäcka och mildra sådana attacker.

Slutsats: Stärka försvaret mot växande hot

De senaste skadliga kampanjerna riktade mot Pidgin- och Cradle-användare framhäver den utvecklande taktiken som används av cyberbrottslingar. Användningen av till synes legitima applikationer och plugins som vektorer för att leverera sofistikerad skadlig programvara som DarkGate understryker behovet av robusta cybersäkerhetsåtgärder. Användare måste vara försiktiga när de laddar ner plugins eller applikationer från tredje part, även från till synes välrenommerade källor. Samtidigt måste utvecklare och säkerhetsexperter samarbeta för att stärka säkerheten för mjukvaruekosystem och se till att sådana hot identifieras och neutraliseras innan de kan orsaka omfattande skada.

I en tid där digitala kommunikationsverktyg finns överallt har insatserna aldrig varit högre. I takt med att hotaktörer fortsätter att förnya sig måste vårt försvar också göra det. Kampen mot skadlig programvara som DarkGate pågår, men med en successivt större medvetenhet och proaktiva vanor kan vi ligga steget före angriparna.

Trendigt

Mest sedda

Läser in...