Malicious Pidgin Plugin
數位環境不斷發展,即時通訊應用程式已成為個人和專業通訊不可或缺的一部分。然而,這些平台也成為威脅行為者的主要目標。最近的網路安全事件凸顯了廣泛使用的訊息應用程式中潛藏的危險,複雜的惡意軟體活動針對的是毫無戒心的用戶。本文探討了這些威脅的興起,重點在於兩個重要案例:具有威脅性的 Pidgin 外掛程式和 Signal 應用程式的受損分支。
目錄
洋涇浜插件滲透
2024 年 8 月 22 日,流行的開源訊息應用程式 Pidgin 透露,一個名為 ScreenShare-OTR (ss-otr) 的損壞插件已滲透到其官方第三方插件清單中。該插件被宣傳為透過非記錄 (OTR) 訊息協定進行螢幕共享的工具,被發現包含惡意程式碼。最初,由於缺乏原始程式碼並且只能下載二進位文件,它沒有引起人們的注意——這是一個嚴重的疏忽,導致威脅在未被發現的情況下傳播。
發現的威脅能力
網路安全研究人員進行的徹底分析揭示了 ScreenShare-OTR 插件的真正本質。調查顯示,該插件旨在執行多種惡意活動:
- 鍵盤記錄:此插件可以記錄擊鍵,捕獲密碼和私人訊息等敏感資訊。
- 螢幕截圖分享:該插件拍攝螢幕截圖並將其發送給其操作員,這可能會洩露機密資訊。
- 下載並執行欺詐性二進位檔案:該插件連接到犯罪分子控制的伺服器,以下載並執行更多不安全的有效負載,包括 PowerShell 腳本和臭名昭著的DarkGate惡意軟體。
該插件的安裝程序是使用向一家波蘭公司頒發的合法證書進行簽署的,這給它帶來了真實性的假象,這可能有助於繞過安全措施。該插件的 Windows 和 Linux 版本都表現出類似的惡意行為,證明了此攻擊帶來的跨平台威脅。
更廣泛的影響
進一步調查顯示,託管不安全有效負載的網站偽裝成合法的插件儲存庫。它還提供了其他流行的插件,如 OMEMO、Pidgin Paranoia 和 Window Merge,這些插件可能已洩露。此外,在 Cradle 中也發現了 ScreenShare-OTR 插件中發現的相同後門,該應用程式自稱「反取證訊息傳遞軟體」。
搖籃:一個假定的訊號叉
由於與最值得信賴的安全訊息應用程式之一 Signal 的關聯,Cradle 帶來了更隱密的風險。儘管 Cradle 是 Signal 的開源分支,但它既不由 Signal 基金會贊助,也不隸屬於 Signal 基金會。儘管如此,它還是成功地讓用戶相信了它的合法性,部分原因是它的分叉原始碼部分可以在 GitHub 上找到。
然而,更深入的檢查表明,Cradle 是使用與公開可用的程式碼不同的程式碼建構的。該應用程式嵌入了與 ScreenShare-OTR 插件相同的惡意程式碼,能夠下載部署 DarkGate 惡意軟體的腳本。 Windows 和 Linux 版本的 Cradle 中都存在這種惡意軟體,進一步凸顯了這些攻擊帶來的跨平台風險。
DarkGate:持續且不斷演變的威脅
DarkGate 並不是惡意軟體生態系統中的新玩家。它於 2018 年首次記錄,現已發展成為一個複雜的惡意軟體即服務 (MaaS) 平台。 DarkGate 提供廣泛的功能,包括:
- 隱藏虛擬網路運算 (hVNC)
- 遠端程式碼執行
- 加密貨幣挖礦
- 反向 Shell 訪問
該惡意軟體在嚴格控制的分發模式下運行,僅適用於選定的一組客戶。經過一段相對休眠期後,隨著Qakbot基礎設施的破壞和拆除,DarkGate 於 2023 年 9 月捲土重來。這次復興與幾起備受矚目的惡意軟體活動同時發生,顯示 DarkGate 已成為網路犯罪者青睞的工具。
DarkGate 惡意軟體:感染媒介與全球影響
DarkGate 的復興以其廣泛分佈在各種媒介中為標誌。自 2023 年 8 月以來,網路安全研究人員觀察到許多利用不同方法利用 DarkGate 感染受害者的活動:
- Teams 聊天:受害者被誘騙透過 Microsoft Teams 發送的連結下載 DarkGate 安裝程式。
- 電子郵件附件:包含內閣 (.cab) 檔案的電子郵件被用來引誘受害者下載和執行不安全內容。
- DLL 旁加載:合法程式被利用透過動態連結程式庫 (DLL) 旁載入 DarkGate。
- 損壞的 PDF :包含 Windows 捷徑 (.lnk) 檔案的 ZIP 存檔連結的 PDF 附件被用來部署 DarkGate。
- Java 檔案 (.jar) 檔案:易受攻擊的主機透過 Java 檔案檔案感染。
- HTML 檔案:使用者被欺騙將 HTML 檔案中的惡意腳本複製並貼上到 Windows 運行列中。
- 詐騙廣告:基於廣告的活動向毫無戒心的使用者分發 DarkGate 惡意軟體。
- 開放式 Samba 檔案共用:執行開放式 Samba 檔案共享的伺服器用於託管 DarkGate 感染的檔案。
全球影響力
這些活動並不局限於特定地區。北美、歐洲和亞洲大部分地區都有 DarkGate 感染的報告。該惡意軟體適應不同傳遞機制的能力及其先進的規避技術使其成為全球網路安全專業人員的強大對手。
2024 年 1 月,DarkGate 發布了第六個主要版本,未發現的樣本被確定為版本 6.1.6。這種不斷的發展和完善強調了威脅的持續性以及在檢測和減輕此類攻擊時保持警惕的重要性。
結論:加強防禦不斷變化的威脅
最近針對 Pidgin 和 Cradle 用戶的惡意軟體活動突顯了網路犯罪分子所採用的不斷變化的策略。使用看似合法的應用程式和插件作為傳播 DarkGate 等複雜惡意軟體的載體,強調了強有力的網路安全措施的必要性。用戶在下載第三方外掛程式或應用程式時必須小心謹慎,即使是來自看似信譽良好的來源。同時,開發人員和安全專業人員必須共同努力,加強軟體生態系統的安全性,確保在此類威脅造成廣泛危害之前識別並消除它們。
在數位通訊工具無所不在的時代,風險從未如此之高。隨著威脅行為者不斷創新,我們的防禦也必須不斷創新。與 DarkGate 等惡意軟體的鬥爭仍在繼續,但隨著意識的不斷增強和積極主動的習慣,我們可以領先攻擊者一步。
