Plugin Pidgin độc hại

Bối cảnh kỹ thuật số đang không ngừng phát triển, với các ứng dụng nhắn tin tức thời trở thành một phần không thể thiếu trong giao tiếp cá nhân và chuyên nghiệp. Tuy nhiên, các nền tảng này cũng đã trở thành mục tiêu chính của các tác nhân đe dọa. Các sự cố an ninh mạng gần đây đã làm nổi bật những mối nguy hiểm ẩn núp trong các ứng dụng nhắn tin được sử dụng rộng rãi, với các chiến dịch phần mềm độc hại tinh vi nhắm vào những người dùng không nghi ngờ. Bài viết này khám phá sự gia tăng của các mối đe dọa này, tập trung vào hai trường hợp quan trọng: plugin Pidgin đe dọa và một nhánh bị xâm phạm của ứng dụng Signal.

Sự xâm nhập của Plugin Pidgin

Vào ngày 22 tháng 8 năm 2024, Pidgin, một ứng dụng nhắn tin mã nguồn mở phổ biến, đã tiết lộ rằng một plugin bị hỏng có tên ScreenShare-OTR (ss-otr) đã xâm nhập vào danh sách plugin của bên thứ ba chính thức của ứng dụng. Plugin này, được tiếp thị là một công cụ chia sẻ màn hình qua giao thức nhắn tin Off-the-Record (OTR), đã được phát hiện có chứa mã độc. Ban đầu, nó không được chú ý do không có mã nguồn và chỉ có các tệp nhị phân để tải xuống—một sự giám sát nghiêm trọng khiến mối đe dọa lây lan mà không bị phát hiện.

Khả năng đe dọa được phát hiện

Một phân tích kỹ lưỡng của các nhà nghiên cứu an ninh mạng đã phát hiện ra bản chất thực sự của plugin ScreenShare-OTR. Cuộc điều tra cho thấy plugin này được thiết kế để thực hiện một số hoạt động độc hại:

• Ghi lại phím : Plugin có thể ghi lại các lần nhấn phím, thu thập thông tin nhạy cảm như mật khẩu và tin nhắn riêng tư.
• Chia sẻ ảnh chụp màn hình : Plugin này chụp ảnh màn hình và gửi cho người điều hành, có khả năng tiết lộ thông tin bí mật.
• Tải xuống và thực thi các tệp nhị phân gian lận : Plugin được kết nối với máy chủ do tội phạm kiểm soát để tải xuống và thực thi các phần mềm độc hại không an toàn khác, bao gồm cả tập lệnh PowerShell và phần mềm độc hại DarkGate khét tiếng.

Trình cài đặt của plugin đã được ký bằng một chứng chỉ hợp lệ được cấp cho một công ty Ba Lan, mang lại cho nó vẻ ngoài xác thực có thể giúp vượt qua các biện pháp bảo mật. Cả phiên bản Windows và Linux của plugin đều thể hiện hành vi độc hại tương tự, chứng minh mối đe dọa đa nền tảng do cuộc tấn công này gây ra.

Những hàm ý rộng hơn

Cuộc điều tra sâu hơn cho thấy trang web lưu trữ các tải trọng không an toàn đã ngụy trang thành một kho lưu trữ plugin hợp pháp. Nó cũng cung cấp các plugin phổ biến khác như OMEMO, Pidgin Paranoia và Window Merge, có thể đã bị xâm phạm. Hơn nữa, cùng một cửa hậu được tìm thấy trong plugin ScreenShare-OTR đã được phát hiện trong Cradle, một ứng dụng tự nhận là 'phần mềm nhắn tin chống pháp y'.

Cái nôi: Một cái nĩa tín hiệu được cho là

Cradle có nguy cơ nguy hiểm hơn do liên quan đến Signal, một trong những ứng dụng nhắn tin an toàn đáng tin cậy nhất. Mặc dù Cradle là một nhánh mã nguồn mở của Signal, nhưng nó không được tài trợ hoặc liên kết với Signal Foundation. Mặc dù vậy, nó đã thuyết phục được người dùng về tính hợp pháp của mình, một phần là do mã nguồn nhánh của nó có sẵn một phần trên GitHub.

Tuy nhiên, một cuộc kiểm tra sâu hơn cho thấy Cradle được xây dựng bằng một mã khác với mã được công khai. Ứng dụng được nhúng cùng mã độc hại với plugin ScreenShare-OTR, có khả năng tải xuống các tập lệnh triển khai phần mềm độc hại DarkGate. Sự hiện diện của phần mềm độc hại này trong cả phiên bản Windows và Linux của Cradle càng làm nổi bật thêm những rủi ro đa nền tảng do các cuộc tấn công này gây ra.

DarkGate: Một mối đe dọa dai dẳng và đang phát triển

DarkGate không phải là một nhân tố mới trong hệ sinh thái phần mềm độc hại. Lần đầu tiên được ghi nhận vào năm 2018, nó đã phát triển thành một nền tảng Malware-as-a-Service (MaaS) tinh vi. DarkGate cung cấp nhiều khả năng, bao gồm:

• Mạng máy tính ảo ẩn (hVNC)
• Thực thi mã từ xa
• Khai thác tiền điện tử
• Truy cập Shell ngược

Phần mềm độc hại này hoạt động theo mô hình phân phối được kiểm soát chặt chẽ, chỉ dành cho một nhóm khách hàng được chọn. Sau một thời gian tương đối im ắng, DarkGate đã tái xuất với sự trả thù vào tháng 9 năm 2023 sau khi cơ sở hạ tầng Qakbot bị phá vỡ và gỡ bỏ. Sự tái xuất này trùng hợp với một số chiến dịch phần mềm độc hại nổi tiếng, cho thấy DarkGate đã trở thành công cụ được tội phạm mạng ưa chuộng.

Phần mềm độc hại DarkGate: Các vectơ lây nhiễm và tác động toàn cầu

Sự trỗi dậy trở lại của DarkGate được đánh dấu bằng sự phân phối rộng rãi của nó trên nhiều vectơ khác nhau. Kể từ tháng 8 năm 2023, các nhà nghiên cứu an ninh mạng đã quan sát thấy nhiều chiến dịch tận dụng các phương pháp khác nhau để lây nhiễm nạn nhân bằng DarkGate:

• Trò chuyện trong nhóm : Nạn nhân bị lừa tải xuống trình cài đặt DarkGate thông qua các liên kết được gửi qua Microsoft Teams.
• Tệp đính kèm email : Email có chứa tệp lưu trữ cabinet (.cab) được sử dụng để dụ nạn nhân tải xuống và thực thi nội dung không an toàn.
• Tải phụ DLL : Các chương trình hợp pháp đã được khai thác để tải phụ DarkGate thông qua các thư viện liên kết động (DLL).

• PDF bị hỏng : Tệp PDF đính kèm có liên kết đến tệp ZIP chứa tệp lối tắt Windows (.lnk) đã được sử dụng để triển khai DarkGate.

• Tệp lưu trữ Java (.jar) : Các máy chủ dễ bị tấn công thông qua tệp lưu trữ Java.

• Tệp HTML: Người dùng bị lừa sao chép và dán các tập lệnh độc hại từ tệp HTML vào thanh Run của Windows.

• Quảng cáo gian lận : Các chiến dịch dựa trên quảng cáo phân phối phần mềm độc hại DarkGate cho người dùng không hề hay biết.

• Chia sẻ tệp Samba mở: Máy chủ chạy chia sẻ tệp Samba mở được sử dụng để lưu trữ tệp nhằm mục đích lây nhiễm DarkGate.

Phạm vi và tác động toàn cầu

Những chiến dịch này không chỉ giới hạn ở một khu vực cụ thể. Các vụ nhiễm DarkGate đã được báo cáo trên khắp Bắc Mỹ, Châu Âu và một số khu vực đáng kể của Châu Á. Khả năng thích ứng với các cơ chế phân phối khác nhau và các kỹ thuật trốn tránh tiên tiến của phần mềm độc hại đã khiến nó trở thành kẻ thù đáng gờm đối với các chuyên gia an ninh mạng trên toàn thế giới.

Vào tháng 1 năm 2024, DarkGate đã phát hành phiên bản chính thứ sáu, với mẫu chưa phát hiện được xác định là phiên bản 6.1.6. Sự phát triển và cải tiến liên tục này nhấn mạnh sự dai dẳng của mối đe dọa và tầm quan trọng của việc cảnh giác trong việc phát hiện và giảm thiểu các cuộc tấn công như vậy.

Kết luận: Tăng cường phòng thủ chống lại các mối đe dọa đang phát triển

Các chiến dịch phần mềm độc hại gần đây nhắm vào người dùng Pidgin và Cradle làm nổi bật các chiến thuật đang phát triển được tội phạm mạng sử dụng. Việc sử dụng các ứng dụng và plugin có vẻ hợp pháp làm vectơ để phân phối phần mềm độc hại tinh vi như DarkGate nhấn mạnh nhu cầu về các biện pháp an ninh mạng mạnh mẽ. Người dùng phải thận trọng khi tải xuống các plugin hoặc ứng dụng của bên thứ ba, ngay cả từ các nguồn có vẻ đáng tin cậy. Trong khi đó, các nhà phát triển và chuyên gia bảo mật phải hợp tác với nhau để tăng cường bảo mật cho hệ sinh thái phần mềm, đảm bảo rằng các mối đe dọa như vậy được xác định và vô hiệu hóa trước khi chúng có thể gây ra tác hại rộng rãi.

Trong thời đại mà các công cụ truyền thông kỹ thuật số có mặt ở khắp mọi nơi, rủi ro chưa bao giờ cao hơn thế. Khi các tác nhân đe dọa tiếp tục đổi mới, thì khả năng phòng thủ của chúng ta cũng phải đổi mới. Cuộc chiến chống lại phần mềm độc hại như DarkGate vẫn đang tiếp diễn, nhưng với nhận thức ngày càng cao và thói quen chủ động, chúng ta có thể đi trước những kẻ tấn công một bước.