Multi-License Discount Quote
Tehdit Veritabanı Malware Malicious Pidgin Plugin

Malicious Pidgin Plugin

Mezo'de Malware'de
Çevir:
Türkçe

Dijital manzara sürekli gelişiyor ve anlık mesajlaşma uygulamaları kişisel ve profesyonel iletişimin ayrılmaz bir parçası haline geliyor. Ancak bu platformlar aynı zamanda tehdit aktörleri için birincil hedefler haline geldi. Son siber güvenlik olayları, yaygın olarak kullanılan mesajlaşma uygulamalarında gizlenen tehlikeleri, şüphelenmeyen kullanıcıları hedef alan karmaşık kötü amaçlı yazılım kampanyalarını vurguladı. Bu makale, bu tehditlerin yükselişini inceliyor ve iki önemli vakaya odaklanıyor: tehdit edici Pidgin eklentisi ve Signal uygulamasının tehlikeye atılmış bir çatalı.

Pidgin Eklenti Sızması

22 Ağustos 2024'te, popüler bir açık kaynaklı mesajlaşma uygulaması olan Pidgin, ScreenShare-OTR (ss-otr) adlı bozuk bir eklentinin resmi üçüncü taraf eklentiler listesine sızdığını ortaya çıkardı. Off-the-Record (OTR) mesajlaşma protokolü üzerinden ekran paylaşımı için bir araç olarak pazarlanan eklentinin kötü niyetli kod içerdiği bulundu. Başlangıçta, kaynak kodunun olmaması ve yalnızca ikili dosyaların indirilebilmesi nedeniyle fark edilmedi; bu, tehdidin fark edilmeden yayılmasına izin veren kritik bir gözetimdi.

Tehdit Edici Yetenekler Açığa Çıkarıldı

Siber güvenlik araştırmacıları tarafından yapılan kapsamlı bir analiz, ScreenShare-OTR eklentisinin gerçek doğasını ortaya çıkardı. Soruşturma, eklentinin birkaç kötü amaçlı etkinlik gerçekleştirmek üzere tasarlandığını ortaya çıkardı:

  • Tuş Kaydı : Eklenti, tuş vuruşlarını kaydederek şifreler ve özel mesajlar gibi hassas bilgileri yakalayabilir.
  • Ekran Görüntüsü Paylaşımı : Eklenti ekran görüntüleri alıp bunları operatörlerine gönderiyordu; bu da gizli bilgilerin ifşa edilmesine yol açabiliyordu.
  • Sahte İkili Dosyaları İndirme ve Çalıştırma : Eklenti, PowerShell betiği ve kötü şöhretli DarkGate kötü amaçlı yazılımı da dahil olmak üzere daha fazla güvenli olmayan yükü indirmek ve çalıştırmak için suçluların kontrolündeki bir sunucuya bağlanır.

Eklentinin yükleyicisi, Polonyalı bir şirkete verilen meşru bir sertifika ile imzalanmıştı ve bu da muhtemelen güvenlik önlemlerini aşmaya yardımcı olan bir özgünlük görünümü sağlıyordu. Eklentinin hem Windows hem de Linux sürümleri benzer kötü amaçlı davranışlar sergileyerek bu saldırının oluşturduğu platformlar arası tehdidi gösteriyordu.

Daha Geniş Etkileri

Daha detaylı inceleme, güvenli olmayan yükleri barındıran sitenin meşru bir eklenti deposu gibi davrandığını ortaya çıkardı. Ayrıca, tehlikeye atılmış olabilecek OMEMO, Pidgin Paranoia ve Window Merge gibi diğer popüler eklentileri de sunuyordu. Dahası, ScreenShare-OTR eklentisinde bulunan aynı arka kapı, kendisini 'anti-adli mesajlaşma yazılımı' olarak tanıtan bir uygulama olan Cradle'da keşfedildi.

Beşik: Bir Sinyal Çatalı Olduğu İddia Ediliyor

Cradle, en güvenilir güvenli mesajlaşma uygulamalarından biri olan Signal ile olan ilişkisi nedeniyle daha sinsi bir risk teşkil ediyor. Cradle, Signal'in açık kaynaklı bir çatalı olmasına rağmen, ne Signal Vakfı tarafından destekleniyor ne de onunla bağlantılı. Buna rağmen, kullanıcıları meşruiyetine ikna etmeyi başardı, kısmen çatallı kaynak kodunun bir kısmı GitHub'da mevcut olması nedeniyle.

Ancak daha derin bir inceleme, Cradle'ın herkese açık olandan farklı bir kod kullanılarak oluşturulduğunu ortaya çıkardı. Uygulama, DarkGate kötü amaçlı yazılımını dağıtan betikleri indirebilen ScreenShare-OTR eklentisiyle aynı kötü amaçlı kodla gömülmüştü. Bu kötü amaçlı yazılımın hem Windows hem de Linux Cradle sürümlerinde bulunması, bu saldırıların oluşturduğu platformlar arası riskleri daha da vurguladı.

DarkGate: Kalıcı ve Gelişen Bir Tehdit

DarkGate kötü amaçlı yazılım ekosisteminde yeni bir oyuncu değil. İlk olarak 2018'de belgelenen bu platform, gelişmiş bir Kötü Amaçlı Yazılım Hizmeti (MaaS) platformuna dönüştü. DarkGate, aşağıdakiler de dahil olmak üzere çok çeşitli yetenekler sunar:

  • Gizli Sanal Ağ Bilgisayarı (hVNC)
  • Uzaktan Kod Çalıştırma
  • Kripto madenciliği
  • Ters Kabuk Erişimi

Kötü amaçlı yazılım, yalnızca belirli bir müşteri grubuna açık, sıkı bir şekilde kontrol edilen bir dağıtım modeli altında çalışır. Nispeten bir uykuda kalma döneminden sonra, DarkGate, Qakbot altyapısının bozulması ve kaldırılmasının ardından Eylül 2023'te intikamla yeniden ortaya çıktı. Bu yeniden canlanma, DarkGate'in siber suçlular arasında tercih edilen bir araç haline geldiğini gösteren birkaç yüksek profilli kötü amaçlı yazılım kampanyasıyla aynı zamana denk geldi.

DarkGate Kötü Amaçlı Yazılımı: Enfeksiyon Vektörleri ve Küresel Etki

DarkGate'in yeniden canlanması, çeşitli vektörler arasında yaygın bir şekilde dağıtılmasıyla işaretlendi. Ağustos 2023'ten bu yana, siber güvenlik araştırmacıları kurbanları DarkGate ile enfekte etmek için farklı yöntemler kullanan çok sayıda kampanya gözlemlediler:

  • Teams Sohbetleri : Mağdurlar, Microsoft Teams üzerinden gönderilen bağlantılar aracılığıyla DarkGate yükleyicisini indirmeye kandırıldılar.
  • E-posta Ekleri : Cabinet (.cab) arşivleri içeren e-postalar, kurbanları güvenli olmayan içerikleri indirmeye ve çalıştırmaya yönlendirmek için kullanıldı.
  • DLL Yan Yükleme : DarkGate'i dinamik bağlantı kütüphaneleri (DLL'ler) aracılığıyla yan yüklemek için meşru programlar kullanıldı.
  • Bozuk PDF'ler : Windows kısayol (.lnk) dosyaları içeren ZIP arşivlerine bağlantılar içeren PDF ekleri DarkGate'i dağıtmak için kullanıldı.
  • Java Arşiv (.jar) Dosyaları : Güvenlik açığı olan ana bilgisayarlar Java arşiv dosyaları aracılığıyla enfekte edildi.
  • HTML Dosyaları: Kullanıcılar, kötü amaçlı komut dosyalarını HTML dosyalarından kopyalayıp Windows Çalıştır çubuğuna yapıştırma konusunda kandırıldılar.
  • Sahte Reklamlar : Reklam tabanlı kampanyalar, DarkGate zararlı yazılımını şüphelenmeyen kullanıcılara dağıttı.
  • Açık Samba Dosya Paylaşımları: Açık Samba dosya paylaşımlarını çalıştıran sunucular, DarkGate enfeksiyonlarına yönelik dosyaları barındırmak için kullanıldı.

Küresel Erişim ve Etki

Bu kampanyalar belirli bir bölgeyle sınırlı değildir. DarkGate enfeksiyonları Kuzey Amerika, Avrupa ve Asya'nın önemli kısımlarında bildirilmiştir. Kötü amaçlı yazılımın farklı dağıtım mekanizmalarına uyum sağlama yeteneği ve gelişmiş kaçınma teknikleri, onu dünya çapındaki siber güvenlik profesyonelleri için zorlu bir rakip haline getirmiştir.

Ocak 2024'te DarkGate, keşfedilen örneğin 6.1.6 sürümü olarak tanımlandığı altıncı büyük sürümünü yayınladı. Bu sürekli geliştirme ve iyileştirme, tehdidin sürekliliğini ve bu tür saldırıları tespit etme ve azaltmada dikkatli olmanın önemini vurguluyor.

Sonuç: Gelişen Tehditlere Karşı Savunmaların Güçlendirilmesi

Pidgin ve Cradle kullanıcılarını hedef alan son kötü amaçlı yazılım kampanyaları, siber suçlular tarafından kullanılan gelişen taktikleri vurgulamaktadır. DarkGate gibi karmaşık kötü amaçlı yazılımları iletmek için vektör olarak görünen meşru uygulamaların ve eklentilerin kullanılması, sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır. Kullanıcılar, görünüşte itibarlı kaynaklardan bile olsa, üçüncü taraf eklentileri veya uygulamaları indirirken dikkatli olmalıdır. Bu arada, geliştiriciler ve güvenlik uzmanları, yazılım ekosistemlerinin güvenliğini güçlendirmek için birlikte çalışmalı ve bu tür tehditlerin yaygın bir zarara yol açmadan önce tanımlanıp etkisiz hale getirilmesini sağlamalıdır.

Dijital iletişim araçlarının her yerde olduğu bir çağda, riskler hiç bu kadar yüksek olmamıştı. Tehdit aktörleri yenilik yapmaya devam ettikçe, savunmalarımız da yenilik yapmalı. DarkGate gibi kötü amaçlı yazılımlara karşı mücadele devam ediyor, ancak giderek artan bir farkındalık ve proaktif alışkanlıklarla saldırganlardan bir adım önde kalabiliriz.

trend

En çok görüntülenen

Yükleniyor...