Multi-License Discount Quote
Banta sa Database Malware Nakakahamak na Pidgin Plugin

Nakakahamak na Pidgin Plugin

Sa pamamagitan ng Mezo sa Malware
Isalin To:
Wikang Filipino

Ang digital landscape ay patuloy na umuunlad, na ang mga instant messaging application ay nagiging mahalaga sa personal at propesyonal na komunikasyon. Gayunpaman, ang mga platform na ito ay naging pangunahing target din para sa mga aktor ng pagbabanta. Ang mga kamakailang insidente sa cybersecurity ay na-highlight ang mga panganib na nakatago sa malawakang ginagamit na mga application sa pagmemensahe, na may mga sopistikadong kampanya ng malware na nagta-target sa mga hindi pinaghihinalaang user. Sinasaliksik ng artikulong ito ang pagtaas ng mga banta na ito, na nakatuon sa dalawang makabuluhang kaso: ang nagbabantang Pidgin plugin at isang nakompromisong tinidor ng Signal application.

Ang Pidgin Plugin Infiltration

Noong Agosto 22, 2024, ang Pidgin, isang sikat na open-source na application sa pagmemensahe, ay nagsiwalat na ang isang sira na plugin na pinangalanang ScreenShare-OTR (ss-otr) ay nakalusot sa opisyal nitong listahan ng mga third-party na plugin. Ang plugin, na ibinebenta bilang isang tool para sa pagbabahagi ng screen sa Off-the-Record (OTR) messaging protocol, ay natagpuang naglalaman ng hindi kanais-nais na code. Sa una, hindi ito napansin dahil sa kawalan ng source code at ang pagkakaroon lamang ng mga binary file para sa pag-download—isang kritikal na pangangasiwa na nagpapahintulot sa banta na kumalat nang hindi natukoy.

Natuklasan ang Mga Kakayahang Nagbabanta

Natuklasan ng masusing pagsusuri ng mga mananaliksik sa cybersecurity ang tunay na katangian ng ScreenShare-OTR plugin. Ang pagsisiyasat ay nagsiwalat na ang plugin ay idinisenyo upang magsagawa ng ilang malisyosong aktibidad:

  • Keylogging : Maaaring mag-log ang plugin ng mga keystroke, kumukuha ng sensitibong impormasyon gaya ng mga password at pribadong mensahe.
  • Pagbabahagi ng Screenshot : Kumuha ang plugin ng mga screenshot at ipinadala ang mga ito sa mga operator nito, na posibleng maglantad ng kumpidensyal na impormasyon.
  • Pag-download at Pagpapatupad ng Mga Mapanlinlang na Binary : Ang plugin ay konektado sa isang server na kinokontrol ng kriminal upang mag-download at magsagawa ng higit pang hindi ligtas na mga payload, kabilang ang isang PowerShell script at ang kilalang DarkGate malware.

Ang installer ng plugin ay nilagdaan gamit ang isang lehitimong sertipiko na ibinigay sa isang Polish na kumpanya, na nagpapahiram dito ng isang veneer ng pagiging tunay na malamang na nakatulong sa pag-iwas sa mga hakbang sa seguridad. Parehong Windows at Linux na bersyon ng plugin ay nagpakita ng magkatulad na malisyosong gawi, na nagpapakita ng cross-platform na banta na dulot ng pag-atakeng ito.

Ang Mas Malawak na Implikasyon

Ang karagdagang pagsisiyasat ay nagsiwalat na ang site na nagho-host ng hindi ligtas na mga payload ay nagkunwaring isang lehitimong imbakan ng plugin. Nag-alok din ito ng iba pang sikat na plugin tulad ng OMEMO, Pidgin Paranoia, at Window Merge, na maaaring nakompromiso. Bukod dito, ang parehong backdoor na natagpuan sa ScreenShare-OTR plugin ay natuklasan sa Cradle, isang application na sinisingil ang sarili nito bilang 'anti-forensic messaging software.'

Duyan: Isang Inaakalang Signal Fork

Nagpapakita ang Cradle ng mas mapanlinlang na panganib dahil sa pagkakaugnay nito sa Signal, isa sa mga pinakapinagkakatiwalaang secure na application sa pagmemensahe. Bagama't ang Cradle ay isang open-source na tinidor ng Signal, hindi ito ini-sponsor o kaakibat ng Signal Foundation. Sa kabila nito, nagawa nitong kumbinsihin ang mga user sa pagiging lehitimo nito, bahagyang dahil ang forked source code nito ay bahagyang available sa GitHub.

Gayunpaman, ipinakita ng mas malalim na inspeksyon na binuo ang Cradle gamit ang ibang code kaysa sa kung ano ang available sa publiko. Ang application ay naka-embed na may parehong malisyosong code tulad ng ScreenShare-OTR plugin, na may kakayahang mag-download ng mga script na nag-deploy ng DarkGate malware. Ang pagkakaroon ng malware na ito sa parehong bersyon ng Windows at Linux ng Cradle ay higit na binibigyang-diin ang mga panganib sa cross-platform na dulot ng mga pag-atakeng ito.

DarkGate: Isang Patuloy at Umuunlad na Banta

Ang DarkGate ay hindi bagong player sa malware ecosystem. Unang naidokumento noong 2018, naging isang sopistikadong Malware-as-a-Service (MaaS) platform. Nag-aalok ang DarkGate ng malawak na hanay ng mga kakayahan, kabilang ang:

  • Nakatagong Virtual Network Computing (hVNC)
  • Pagpapatupad ng Remote Code
  • Cryptomining
  • Reverse Shell Access

Gumagana ang malware sa ilalim ng isang mahigpit na kinokontrol na modelo ng pamamahagi, na magagamit lamang sa isang piling grupo ng mga customer. Pagkatapos ng isang panahon ng kamag-anak na dormancy, muling lumitaw ang DarkGate nang may paghihiganti noong Setyembre 2023 kasunod ng pagkaantala at pagtanggal ng imprastraktura ng Qakbot . Ang muling pagkabuhay na ito ay kasabay ng ilang high-profile na malware campaign, na nagpapahiwatig na ang DarkGate ay naging isang pinapaboran na tool sa mga cybercriminal.

The DarkGate Malware: Infection Vectors at Global Impact

Ang muling pagkabuhay ng DarkGate ay minarkahan ng malawakang pamamahagi nito sa iba't ibang vectors. Mula noong Agosto 2023, naobserbahan ng mga mananaliksik sa cybersecurity ang maraming kampanya na gumagamit ng iba't ibang paraan upang mahawahan ng DarkGate ang mga biktima:

  • Mga Team Chat : Nalinlang ang mga biktima sa pag-download ng DarkGate installer sa pamamagitan ng mga link na ipinadala sa pamamagitan ng Microsoft Teams.
  • Mga Attachment sa Email : Ginamit ang mga email na naglalaman ng cabinet (.cab) archive para akitin ang mga biktima na mag-download at magsagawa ng hindi ligtas na content.
  • DLL Sideloading : Ang mga lehitimong programa ay pinagsamantalahan upang i-sideload ang DarkGate sa pamamagitan ng mga dynamic link library (DLL).
  • Mga Sirang PDF : Ang mga PDF attachment na may mga link sa ZIP archive na naglalaman ng Windows shortcut (.lnk) na mga file ay ginamit upang i-deploy ang DarkGate.
  • Java Archive (.jar) Files : Ang mga vulnerable host ay nahawahan sa pamamagitan ng Java archive file.
  • Mga HTML File: Nalinlang ang mga user sa pagkopya at pag-paste ng mga nakakahamak na script mula sa mga HTML file sa Windows Run bar.
  • Mga Mapanlinlang na Advertisement : Ipinamahagi ng mga ad-based na campaign ang DarkGate malware sa mga hindi pinaghihinalaang user.
  • Buksan ang Samba File Shares: Ang mga server na nagpapatakbo ng bukas na Samba file share ay ginamit upang mag-host ng mga file para sa mga impeksyon sa DarkGate.

Pandaigdigang Abot at Epekto

Ang mga kampanyang ito ay hindi nakakulong sa isang partikular na rehiyon. Ang mga impeksyon sa DarkGate ay naiulat sa buong North America, Europe at makabuluhang bahagi ng Asia. Ang kakayahan ng malware na umangkop sa iba't ibang mekanismo ng paghahatid at ang mga advanced na diskarte sa pag-iwas nito ay ginawa itong isang mabigat na kalaban para sa mga propesyonal sa cybersecurity sa buong mundo.

Noong Enero 2024, inilabas ng DarkGate ang ikaanim na pangunahing bersyon nito, kasama ang natuklasang sample na kinilala bilang bersyon 6.1.6. Ang patuloy na pag-unlad at pagpipino na ito ay binibigyang-diin ang pananatili ng banta at ang kahalagahan ng pagbabantay sa pagtukoy at pagpapagaan ng mga naturang pag-atake.

Konklusyon: Pagpapalakas ng mga Depensa Laban sa Mga Nagbabagong Banta

Itinatampok ng kamakailang mga kampanyang malware na nagta-target sa mga user ng Pidgin at Cradle ang mga umuusbong na taktika na ginagamit ng mga cybercriminal. Ang paggamit ng tila mga lehitimong application at plugin bilang mga vector para sa paghahatid ng sopistikadong malware tulad ng DarkGate ay binibigyang-diin ang pangangailangan para sa matatag na mga hakbang sa cybersecurity. Dapat mag-ingat ang mga user kapag nagda-download ng mga third-party na plugin o application, kahit na mula sa mga mukhang kagalang-galang na pinagmulan. Samantala, ang mga developer at mga propesyonal sa seguridad ay dapat magtulungan upang palakasin ang seguridad ng mga software ecosystem, tinitiyak na ang mga naturang banta ay makikilala at ma-neutralize bago sila makapagdulot ng malawakang pinsala.

Sa isang edad kung saan ang mga digital na tool sa komunikasyon ay nasa lahat ng dako, ang mga stake ay hindi kailanman naging mas mataas. Habang patuloy na nagbabago ang mga aktor ng pagbabanta, dapat din ang ating mga depensa. Ang labanan laban sa malware tulad ng DarkGate ay nagpapatuloy, ngunit sa unti-unting mas malawak na kamalayan at proactive na mga gawi, maaari tayong manatiling isang hakbang sa unahan ng mga umaatake.

Trending

Pinaka Nanood

Naglo-load...