Multi-License Discount Quote
База даних загроз Malware Шкідливий плагін Pidgin

Шкідливий плагін Pidgin

До Mezo року в Malware році
Перекласти на:
Українська

Цифровий ландшафт постійно розвивається, а програми обміну миттєвими повідомленнями стають невід’ємною частиною особистого та професійного спілкування. Однак ці платформи також стали основними цілями для загрозливих акторів. Нещодавні інциденти з кібербезпекою підкреслили небезпеки, які ховаються в широко використовуваних програмах обміну повідомленнями, завдяки складним кампаніям зловмисного програмного забезпечення, націленим на нічого не підозрюючих користувачів. У цій статті досліджується зростання цих загроз, зосереджуючись на двох важливих випадках: загрозливий плагін Pidgin і скомпрометований форк програми Signal.

Інфільтрація плагіна Pidgin

22 серпня 2024 року Pidgin, популярна програма обміну повідомленнями з відкритим кодом, виявила, що пошкоджений плагін під назвою ScreenShare-OTR (ss-otr) проник у її офіційний список сторонніх плагінів. Було виявлено, що плагін, який рекламувався як інструмент для спільного використання екрана через протокол обміну повідомленнями Off-the-Record (OTR), містить негідний код. Спочатку це залишилося непоміченим через відсутність вихідного коду та доступність лише двійкових файлів для завантаження — критичний недолік, який дозволив загрозі поширюватися непоміченим.

Виявлено загрозливі можливості

Ретельний аналіз, проведений дослідниками кібербезпеки, виявив справжню природу плагіна ScreenShare-OTR. Розслідування показало, що плагін був розроблений для виконання кількох шкідливих дій:

  • Keylogging : плагін може реєструвати натискання клавіш, зберігаючи конфіденційну інформацію, таку як паролі та особисті повідомлення.
  • Спільний доступ до скріншотів : плагін робив знімки екрана та надсилав їх своїм операторам, потенційно розкриваючи конфіденційну інформацію.
  • Завантаження та виконання шахрайських двійкових файлів : плагін підключається до сервера, контрольованого злочинцями, для завантаження та виконання подальших небезпечних корисних даних, включаючи сценарій PowerShell і сумнозвісне шкідливе програмне забезпечення DarkGate .

Інсталятор плагіна був підписаний законним сертифікатом, виданим польській компанії, що надавало йому вигляду автентичності, що, ймовірно, допомогло обійти заходи безпеки. Обидві версії плагіна для Windows і Linux демонстрували подібну зловмисну поведінку, демонструючи кросплатформну загрозу, яку створює ця атака.

Більш широкі наслідки

Подальше розслідування показало, що сайт, на якому розміщені небезпечні корисні навантаження, видавався за законне сховище плагінів. Він також пропонував інші популярні плагіни, такі як OMEMO, Pidgin Paranoia та Window Merge, які могли бути зламані. Більше того, той самий бекдор, знайдений у плагіні ScreenShare-OTR, було виявлено в програмі Cradle, яка називала себе «програмним забезпеченням для обміну повідомленнями проти судової експертизи».

Колиска: передбачувана сигнальна вилка

Cradle представляє більш підступний ризик через його зв’язок із Signal, однією з найбільш надійних безпечних програм обміну повідомленнями. Хоча Cradle є розгалуженням Signal з відкритим вихідним кодом, він не спонсорується та не пов’язаний із Signal Foundation. Незважаючи на це, йому вдалося переконати користувачів у своїй законності, частково тому, що його розгалужений вихідний код був частково доступний на GitHub.

Однак глибша перевірка показала, що Cradle було створено з використанням іншого коду, ніж той, який був доступний для всіх. Додаток був вбудований з тим самим шкідливим кодом, що й плагін ScreenShare-OTR, здатний завантажувати сценарії, які розгортають шкідливе програмне забезпечення DarkGate. Присутність цього зловмисного програмного забезпечення як у версіях Cradle для Windows, так і для Linux ще більше підкреслює кросплатформні ризики, пов’язані з цими атаками.

DarkGate: постійна загроза, що розвивається

DarkGate не є новим гравцем в екосистемі шкідливих програм. Вперше задокументований у 2018 році, він перетворився на складну платформу шкідливого програмного забезпечення як послуги (MaaS). DarkGate пропонує широкий спектр можливостей, зокрема:

  • Обчислення прихованої віртуальної мережі (hVNC)
  • Віддалене виконання коду
  • Криптомайнінг
  • Зворотний доступ до оболонки

Зловмисне програмне забезпечення працює за жорстко контрольованою моделлю розповсюдження, доступною лише вибраній групі клієнтів. Після періоду відносного спокою DarkGate знову з’явився у вересні 2023 року після збою та ліквідації інфраструктури Qakbot . Це відродження збіглося з кількома резонансними кампаніями зловмисного програмного забезпечення, що свідчить про те, що DarkGate став улюбленим інструментом серед кіберзлочинців.

Зловмисне програмне забезпечення DarkGate: вектори зараження та глобальний вплив

Відродження DarkGate ознаменувалося його широким поширенням у різних векторах. З серпня 2023 року дослідники кібербезпеки спостерігали за численними кампаніями, які використовують різні методи зараження жертв DarkGate:

  • Чати Teams : жертв обманом змусили завантажити програму встановлення DarkGate за посиланнями, надісланими через Microsoft Teams.
  • Вкладення електронної пошти : електронні листи, що містять архіви cabinet (.cab), використовувалися, щоб спонукати жертв завантажувати та запускати небезпечний вміст.
  • Бокове завантаження DLL : законні програми використовувалися для стороннього завантаження DarkGate через бібліотеки динамічного компонування (DLL).
  • Пошкоджені PDF-файли : PDF-додатки з посиланнями на ZIP-архіви, що містять файли ярликів Windows (.lnk), використовувалися для розгортання DarkGate.
  • Архівні файли Java (.jar) : уразливі хости були заражені через архівні файли Java.
  • Файли HTML. Користувачів обманом змусили копіювати та вставляти шкідливі сценарії з файлів HTML на панель запуску Windows.
  • Шахрайська реклама : кампанії на основі реклами розповсюджували зловмисне програмне забезпечення DarkGate серед користувачів, які нічого не підозрювали.
  • Відкриті спільні файли Samba: сервери, на яких працюють відкриті спільні файли Samba, використовувалися для розміщення файлів для інфікування DarkGate.

    • Глобальне охоплення та вплив

    Ці кампанії не були обмежені певним регіоном. Зараження DarkGate були зареєстровані в Північній Америці, Європі та значній частині Азії. Здатність зловмисного програмного забезпечення адаптуватися до різних механізмів доставки та його передові методи ухилення зробили його грізним супротивником для фахівців з кібербезпеки в усьому світі.

    У січні 2024 року DarkGate випустив свою шосту основну версію, з розкритим зразком, визначеним як версія 6.1.6. Цей постійний розвиток і вдосконалення підкреслюють стійкість загрози та важливість пильності у виявленні та пом’якшенні таких атак.

    Висновок: посилення захисту від нових загроз

    Нещодавні кампанії зловмисного програмного забезпечення, націлені на користувачів Pidgin і Cradle, підкреслюють тактику, що розвивається кіберзлочинцями. Використання, здавалося б, законних додатків і плагінів як векторів для доставки складного шкідливого програмного забезпечення, такого як DarkGate, підкреслює потребу в надійних заходах кібербезпеки. Користувачі повинні бути обережними, завантажуючи плагіни або програми сторонніх розробників, навіть із, здавалося б, надійних джерел. Тим часом розробники та фахівці з безпеки повинні працювати разом, щоб посилити безпеку екосистем програмного забезпечення, гарантуючи, що такі загрози ідентифікуються та нейтралізуються, перш ніж вони можуть завдати широкомасштабної шкоди.

    У епоху, коли цифрові комунікаційні засоби є повсюдними, ставки ніколи не були такими високими. Оскільки суб’єкти загрози продовжують впроваджувати інновації, наші засоби захисту також повинні бути такими. Боротьба зі зловмисним програмним забезпеченням, таким як DarkGate, триває, але завдяки поступовому зростанню обізнаності та проактивним звичкам ми можемо бути на крок попереду зловмисників.

    В тренді

    Banshee Stealer

    Stealers, Malware
    Сьогодні наше особисте, фінансове та професійне життя тісно пов’язане з нашими пристроями, і загрозу зловмисного програмного забезпечення неможливо переоцінити. Кіберзлочинці постійно вдосконалюють свою тактику, розробляючи складніші шкідливі програми для проникнення в системи, крадіжки конфіденційної інформації та завдавання значної шкоди. Однією з таких грізних загроз є Banshee Stealer,...

    Найбільше переглянуті

    Шахрайство електронною поштою "Geek Squad".

    Phishing, Spam
    37,953
    Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...

    Спливаючі вікна «Якщо вам 18, торкніться дозволу».

    Fake Warning Messages
    29,609
    Спливаючі вікна «Якщо вам 18, торкніться дозволу» — це тип спливаючої реклами, яка з’являється на екрані користувача під час перегляду веб-сторінок. Ці спливаючі вікна можуть насторожити користувачів, оскільки вони спонукають їх натиснути кнопку «Дозволити», щоб продовжити використання веб-сайту, на якому вони зараз перебувають. Ці спливаючі вікна пов’язані з такими небажаними програмами, як...
    Завантаження...