Malicious Pidgin Plugin
数字环境不断发展,即时通讯应用程序已成为个人和专业通信不可或缺的一部分。然而,这些平台也已成为威胁行为者的主要目标。最近的网络安全事件凸显了广泛使用的消息传递应用程序中潜伏的危险,复杂的恶意软件活动针对毫无戒心的用户。本文探讨了这些威胁的兴起,重点关注两个重要案例:威胁性的 Pidgin 插件和 Signal 应用程序的受感染分支。
目录
Pidgin 插件渗透
2024 年 8 月 22 日,流行的开源消息应用程序 Pidgin 透露,一个名为 ScreenShare-OTR (ss-otr) 的损坏插件已渗入其官方第三方插件列表。该插件被宣传为通过非记录 (OTR) 消息协议进行屏幕共享的工具,被发现包含恶意代码。最初,由于没有源代码并且只有二进制文件可供下载,因此没有引起注意——这是一个严重的疏忽,导致威胁得以在不被发现的情况下传播。
威胁能力被揭露
网络安全研究人员的彻底分析揭示了 ScreenShare-OTR 插件的真实本质。调查显示,该插件旨在执行多项恶意活动:
- 键盘记录:该插件可以记录按键,捕获密码和私人消息等敏感信息。
- 截图共享:该插件会截取截图并将其发送给操作员,可能会泄露机密信息。
- 下载和执行欺诈性二进制文件:该插件连接到犯罪分子控制的服务器,以下载和执行进一步的不安全负载,包括 PowerShell 脚本和臭名昭著的DarkGate恶意软件。
该插件的安装程序使用了由一家波兰公司颁发的合法证书进行签名,这使其具有了真实性的外表,很可能有助于绕过安全措施。该插件的 Windows 和 Linux 版本都表现出了类似的恶意行为,表明此次攻击构成了跨平台威胁。
更广泛的影响
进一步调查显示,托管不安全负载的网站伪装成合法的插件存储库。它还提供其他可能受到攻击的流行插件,如 OMEMO、Pidgin Paranoia 和 Window Merge。此外,在自称是“反取证消息软件”的应用程序 Cradle 中也发现了与 ScreenShare-OTR 插件中相同的后门。
摇篮:假定的信号叉
由于与最受信任的安全消息应用程序之一 Signal 有关联,Cradle 的风险更大。尽管 Cradle 是 Signal 的开源分支,但它既不受 Signal 基金会赞助,也与该基金会没有任何关联。尽管如此,它还是设法让用户相信了其合法性,部分原因是其分支源代码部分可在 GitHub 上找到。
然而,更深入的检查发现,Cradle 使用的代码与公开的代码不同。该应用程序嵌入了与 ScreenShare-OTR 插件相同的恶意代码,能够下载部署 DarkGate 恶意软件的脚本。该恶意软件在 Windows 和 Linux 版本的 Cradle 中都存在,进一步凸显了这些攻击带来的跨平台风险。
DarkGate:持续不断且不断演变的威胁
DarkGate 并不是恶意软件生态系统中的新手。它于 2018 年首次被记录,现已发展成为一个复杂的恶意软件即服务 (MaaS) 平台。DarkGate 提供广泛的功能,包括:
- 隐藏虚拟网络计算 (hVNC)
- 远程代码执行
- 加密挖矿
- 反向 Shell 访问
该恶意软件采用严格控制的分发模式运行,仅供特定客户群使用。经过一段时间的相对沉寂后,DarkGate 在Qakbot基础设施被破坏和拆除后于 2023 年 9 月强势卷土重来。这次复苏恰逢几场备受瞩目的恶意软件活动,表明 DarkGate 已成为网络犯罪分子青睐的工具。
DarkGate 恶意软件:感染媒介和全球影响
DarkGate 的复苏以其在各种媒介上的广泛传播为标志。自 2023 年 8 月以来,网络安全研究人员已经观察到许多利用不同方法用 DarkGate 感染受害者的活动:
- Teams 聊天:受害者被诱骗通过 Microsoft Teams 发送的链接下载 DarkGate 安装程序。
- 电子邮件附件:包含压缩包(.cab)档案的电子邮件被用来诱骗受害者下载和执行不安全的内容。
- DLL 侧加载:合法程序被利用通过动态链接库 (DLL) 侧加载 DarkGate。
- 损坏的 PDF :带有指向包含 Windows 快捷方式 (.lnk) 文件的 ZIP 存档的链接的 PDF 附件用于部署 DarkGate。
- Java 存档(.jar)文件:易受攻击的主机通过 Java 存档文件受到感染。
- HTML 文件:用户被欺骗将恶意脚本从 HTML 文件复制并粘贴到 Windows 运行栏中。
- 欺诈性广告:基于广告的活动向毫无戒心的用户分发 DarkGate 恶意软件。
- 打开 Samba 文件共享:运行打开 Samba 文件共享的服务器用于托管 DarkGate 感染的文件。
全球影响力
这些活动并不局限于特定地区。DarkGate 感染已在北美、欧洲和亚洲大部分地区报告。该恶意软件能够适应不同的交付机制,其先进的逃避技术使其成为全球网络安全专业人员的强大对手。
2024 年 1 月,DarkGate 发布了第六个主要版本,发现的样本被确定为版本 6.1.6。这种持续的开发和改进凸显了威胁的持久性以及在检测和减轻此类攻击时保持警惕的重要性。
结论:加强防御以应对不断演变的威胁
最近针对 Pidgin 和 Cradle 用户的恶意软件活动凸显了网络犯罪分子使用的不断演变的策略。使用看似合法的应用程序和插件作为传播像 DarkGate 这样的复杂恶意软件的载体,凸显了采取强有力的网络安全措施的必要性。用户在下载第三方插件或应用程序时必须小心谨慎,即使是从看似信誉良好的来源下载。同时,开发人员和安全专业人员必须共同努力加强软件生态系统的安全性,确保在此类威胁造成广泛危害之前就将其识别并消除。
在数字通信工具无处不在的时代,风险从未如此之高。随着威胁行为者不断创新,我们的防御也必须如此。与 DarkGate 等恶意软件的斗争仍在继续,但随着意识的不断增强和主动习惯的养成,我们可以领先攻击者一步。
