Malicious Pidgin Plugin

ภูมิทัศน์ดิจิทัลกำลังเปลี่ยนแปลงอยู่เสมอ โดยแอปพลิเคชันการส่งข้อความโต้ตอบแบบทันทีกลายมาเป็นส่วนหนึ่งของการสื่อสารส่วนตัวและในอาชีพการงาน อย่างไรก็ตาม แพลตฟอร์มเหล่านี้ยังกลายเป็นเป้าหมายหลักของผู้ก่อภัยคุกคาม เหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่เกิดขึ้นล่าสุดได้เน้นย้ำถึงอันตรายที่แฝงอยู่ในแอปพลิเคชันการส่งข้อความที่ใช้กันอย่างแพร่หลาย โดยมีแคมเปญมัลแวร์ที่ซับซ้อนที่กำหนดเป้าหมายไปที่ผู้ใช้ที่ไม่คาดคิด บทความนี้จะสำรวจถึงการเพิ่มขึ้นของภัยคุกคามเหล่านี้ โดยเน้นที่กรณีสำคัญสองกรณี ได้แก่ ปลั๊กอิน Pidgin ที่เป็นภัยคุกคามและฟอร์กของแอปพลิเคชัน Signal ที่ถูกบุกรุก

การแทรกซึมของปลั๊กอิน Pidgin

เมื่อวันที่ 22 สิงหาคม 2024 Pidgin แอปพลิเคชันรับส่งข้อความโอเพนซอร์สยอดนิยมได้เปิดเผยว่าปลั๊กอินที่เสียหายชื่อ ScreenShare-OTR (ss-otr) ได้แทรกซึมเข้าไปในรายชื่อปลั๊กอินบุคคลที่สามอย่างเป็นทางการ ปลั๊กอินดังกล่าวซึ่งทำการตลาดในฐานะเครื่องมือสำหรับแชร์หน้าจอผ่านโปรโตคอลการส่งข้อความ Off-the-Record (OTR) พบว่ามีโค้ดที่เป็นอันตราย ในตอนแรก ปลั๊กอินดังกล่าวไม่ได้รับการสังเกตเนื่องจากไม่มีโค้ดต้นฉบับและมีให้ดาวน์โหลดเฉพาะไฟล์ไบนารีเท่านั้น ซึ่งเป็นการละเลยที่สำคัญที่ทำให้ภัยคุกคามแพร่กระจายไปโดยที่ไม่ถูกตรวจพบ

ความสามารถอันคุกคามถูกเปิดเผย

การวิเคราะห์อย่างละเอียดโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยลักษณะที่แท้จริงของปลั๊กอิน ScreenShare-OTR การตรวจสอบเผยให้เห็นว่าปลั๊กอินนี้ได้รับการออกแบบมาเพื่อดำเนินกิจกรรมที่เป็นอันตรายหลายประการ:

• Keylogging : ปลั๊กอินสามารถบันทึกการกดแป้นพิมพ์ รวบรวมข้อมูลที่สำคัญ เช่น รหัสผ่านและข้อความส่วนตัว
• การแชร์ภาพหน้าจอ : ปลั๊กอินจะถ่ายภาพหน้าจอและส่งให้ผู้ปฏิบัติงาน ซึ่งอาจทำให้ข้อมูลที่เป็นความลับถูกเปิดเผย
• การดาวน์โหลดและดำเนินการไบนารีที่หลอกลวง : ปลั๊กอินเชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดยอาชญากรเพื่อดาวน์โหลดและดำเนินการเพย์โหลดที่ไม่ปลอดภัยเพิ่มเติม รวมถึงสคริปต์ PowerShell และมัลแวร์ DarkGate ที่มีชื่อเสียง

โปรแกรมติดตั้งปลั๊กอินได้รับการเซ็นชื่อด้วยใบรับรองถูกต้องตามกฎหมายที่ออกให้กับบริษัทในโปแลนด์ ซึ่งถือเป็นการพิสูจน์ความถูกต้องที่อาจช่วยหลีกเลี่ยงมาตรการรักษาความปลอดภัยได้ ทั้งปลั๊กอินเวอร์ชัน Windows และ Linux แสดงพฤติกรรมที่เป็นอันตรายในลักษณะเดียวกัน ซึ่งแสดงให้เห็นถึงภัยคุกคามข้ามแพลตฟอร์มที่เกิดจากการโจมตีนี้

ผลกระทบที่กว้างขึ้น

การสืบสวนเพิ่มเติมพบว่าไซต์ที่โฮสต์เพย์โหลดที่ไม่ปลอดภัยนั้นแอบอ้างว่าเป็นที่เก็บปลั๊กอินที่ถูกต้องตามกฎหมาย นอกจากนี้ยังเสนอปลั๊กอินยอดนิยมอื่นๆ เช่น OMEMO, Pidgin Paranoia และ Window Merge ซึ่งอาจถูกบุกรุกได้ นอกจากนี้ ยังพบแบ็คดอร์เดียวกันที่พบในปลั๊กอิน ScreenShare-OTR ใน Cradle ซึ่งเป็นแอปพลิเคชันที่เรียกตัวเองว่า 'ซอฟต์แวร์ส่งข้อความต่อต้านการตรวจสอบทางนิติวิทยาศาสตร์'

เปล: ส้อมสัญญาณที่คาดว่าจะเป็น

Cradle มีความเสี่ยงที่ร้ายแรงกว่าเนื่องจากมีความเกี่ยวข้องกับ Signal ซึ่งเป็นแอปพลิเคชันการส่งข้อความที่ปลอดภัยและน่าเชื่อถือที่สุด แม้ว่า Cradle จะเป็นโอเพ่นซอร์สฟอร์กของ Signal แต่ก็ไม่ได้รับการสนับสนุนหรือมีส่วนเกี่ยวข้องกับ Signal Foundation แม้จะเป็นเช่นนั้น แต่ก็สามารถโน้มน้าวผู้ใช้ให้เชื่อได้ว่า Cradle เป็นของจริงได้ ส่วนหนึ่งเป็นเพราะซอร์สโค้ดที่ฟอร์กนั้นสามารถเข้าถึงได้บางส่วนบน GitHub

อย่างไรก็ตาม เมื่อตรวจสอบอย่างละเอียดพบว่า Cradle ถูกสร้างขึ้นโดยใช้โค้ดที่แตกต่างจากโค้ดที่เผยแพร่สู่สาธารณะ แอปพลิเคชันดังกล่าวฝังโค้ดที่เป็นอันตรายเช่นเดียวกับปลั๊กอิน ScreenShare-OTR ซึ่งสามารถดาวน์โหลดสคริปต์ที่ติดตั้งมัลแวร์ DarkGate ได้ การปรากฏตัวของมัลแวร์นี้ใน Cradle ทั้งเวอร์ชัน Windows และ Linux ยิ่งเน้นย้ำถึงความเสี่ยงข้ามแพลตฟอร์มที่เกิดจากการโจมตีเหล่านี้

DarkGate: ภัยคุกคามที่คงอยู่และเปลี่ยนแปลงตลอดเวลา

DarkGate ไม่ใช่ผู้เล่นรายใหม่ในระบบนิเวศของมัลแวร์ โดย DarkGate ได้รับการบันทึกเป็นครั้งแรกในปี 2018 และได้พัฒนาเป็นแพลตฟอร์ม Malware-as-a-Service (MaaS) ที่ซับซ้อน DarkGate นำเสนอความสามารถที่หลากหลาย รวมถึง:

• การประมวลผลเครือข่ายเสมือนที่ซ่อนอยู่ (hVNC)
• การเรียกใช้รหัสจากระยะไกล
• การขุดคริปโต
• การเข้าถึงเชลล์ย้อนกลับ

มัลแวร์ทำงานภายใต้รูปแบบการกระจายที่ควบคุมอย่างเข้มงวด ซึ่งเปิดให้ใช้ได้เฉพาะกับกลุ่มลูกค้าที่เลือกไว้เท่านั้น หลังจากช่วงเวลาแห่งการหยุดทำงานโดยสัมพันธ์กัน DarkGate ก็กลับมาปรากฏตัวอีกครั้งอย่างดุเดือดในเดือนกันยายน 2023 จากการหยุดชะงักและการปิดตัวของโครงสร้างพื้นฐาน Qakbot การกลับมาครั้งนี้เกิดขึ้นพร้อมๆ กับแคมเปญมัลแวร์ที่มีชื่อเสียงหลายแคมเปญ ซึ่งบ่งชี้ว่า DarkGate ได้กลายเป็นเครื่องมือที่เหล่าอาชญากรไซเบอร์ชื่นชอบ

มัลแวร์ DarkGate: เวกเตอร์การติดเชื้อและผลกระทบระดับโลก

การกลับมาอีกครั้งของ DarkGate นั้นมีการแพร่กระจายอย่างกว้างขวางในหลายเวกเตอร์ ตั้งแต่เดือนสิงหาคม 2023 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้สังเกตเห็นแคมเปญมากมายที่ใช้วิธีการต่างๆ เพื่อแพร่เชื้อให้กับเหยื่อด้วย DarkGate:

• การสนทนาใน Teams : เหยื่อจะถูกหลอกให้ดาวน์โหลดตัวติดตั้ง DarkGate ผ่านลิงก์ที่ส่งผ่าน Microsoft Teams
• ไฟล์แนบอีเมล : อีเมลที่มีไฟล์เก็บถาวร (.cab) ถูกใช้เพื่อล่อเหยื่อให้ดาวน์โหลดและเรียกใช้เนื้อหาที่ไม่ปลอดภัย
• DLL Sideloading : โปรแกรมที่ถูกกฎหมายถูกใช้ประโยชน์เพื่อไซด์โหลด DarkGate ผ่านทางไลบรารีลิงก์แบบไดนามิก (DLL)

• PDF เสียหาย : ไฟล์แนบ PDF ที่มีลิงก์ไปยังไฟล์ ZIP ซึ่งประกอบด้วยไฟล์ลัด Windows (.lnk) ถูกใช้เพื่อติดตั้ง DarkGate

• ไฟล์ Java Archive (.jar) : โฮสต์ที่มีช่องโหว่ได้รับการติดไวรัสผ่านทางไฟล์เก็บถาวร Java

• ไฟล์ HTML: ผู้ใช้ถูกหลอกให้คัดลอกและวางสคริปต์ที่เป็นอันตรายจากไฟล์ HTML ลงในแถบ Run ของ Windows

• โฆษณาหลอกลวง : แคมเปญโฆษณาที่แพร่กระจายมัลแวร์ DarkGate ไปสู่ผู้ใช้ที่ไม่สงสัย

• การเปิดไฟล์แชร์ Samba: เซิร์ฟเวอร์ที่รันไฟล์แชร์ Samba แบบเปิดถูกใช้เพื่อโฮสต์ไฟล์สำหรับการติดเชื้อ DarkGate

การเข้าถึงและผลกระทบระดับโลก

แคมเปญเหล่านี้ไม่ได้จำกัดอยู่เฉพาะภูมิภาคใดภูมิภาคหนึ่ง มีรายงานการติดไวรัส DarkGate ทั่วอเมริกาเหนือ ยุโรป และส่วนสำคัญของเอเชีย ความสามารถของมัลแวร์ในการปรับตัวให้เข้ากับกลไกการส่งมอบที่แตกต่างกันและเทคนิคการหลบเลี่ยงขั้นสูงทำให้กลายเป็นศัตรูที่น่าเกรงขามสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทั่วโลก

ในเดือนมกราคม 2024 DarkGate ได้เปิดตัวเวอร์ชันหลักที่ 6 โดยตัวอย่างที่เปิดเผยคือเวอร์ชัน 6.1.6 การพัฒนาและปรับแต่งอย่างต่อเนื่องนี้เน้นย้ำถึงความคงอยู่ของภัยคุกคามและความสำคัญของการเฝ้าระวังในการตรวจจับและบรรเทาการโจมตีประเภทดังกล่าว

บทสรุป: การเสริมสร้างการป้องกันต่อภัยคุกคามที่เปลี่ยนแปลงไป

แคมเปญมัลแวร์ล่าสุดที่กำหนดเป้าหมายผู้ใช้ Pidgin และ Cradle เน้นย้ำถึงกลวิธีที่เปลี่ยนแปลงไปซึ่งใช้โดยอาชญากรไซเบอร์ การใช้แอปพลิเคชันและปลั๊กอินที่ดูเหมือนถูกต้องตามกฎหมายเป็นตัวนำในการส่งมัลแวร์ที่ซับซ้อน เช่น DarkGate เน้นย้ำถึงความจำเป็นในการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง ผู้ใช้จะต้องใช้ความระมัดระวังเมื่อดาวน์โหลดปลั๊กอินหรือแอปพลิเคชันของบุคคลที่สาม แม้ว่าจะมาจากแหล่งที่ดูน่าเชื่อถือก็ตาม ในขณะเดียวกัน นักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยต้องทำงานร่วมกันเพื่อเสริมสร้างความปลอดภัยของระบบนิเวศซอฟต์แวร์ เพื่อให้แน่ใจว่าสามารถระบุและกำจัดภัยคุกคามดังกล่าวได้ก่อนที่จะก่อให้เกิดอันตรายในวงกว้าง

ในยุคที่เครื่องมือสื่อสารดิจิทัลมีอยู่ทั่วไป ความเสี่ยงไม่เคยสูงเท่านี้มาก่อน ในขณะที่ผู้ก่อภัยคุกคามยังคงสร้างสรรค์นวัตกรรมใหม่ๆ การป้องกันของเราก็ต้องเช่นกัน การต่อสู้กับมัลแวร์อย่าง DarkGate ยังคงดำเนินต่อไป แต่ด้วยการตระหนักรู้และนิสัยเชิงรุกที่เพิ่มมากขึ้นเรื่อยๆ เราสามารถก้าวล้ำหน้าผู้โจมตีได้หนึ่งก้าว