Rabattilbud med flere licenser
Trusseldatabase Malware Ondsindet Pidgin-plugin

Ondsindet Pidgin-plugin

Med Mezo i Malware
Oversæt til:
Dansk

Det digitale landskab er i konstant udvikling, og instant messaging-applikationer bliver en integreret del af personlig og professionel kommunikation. Disse platforme er dog også blevet primære mål for trusselsaktører. Nylige cybersikkerhedshændelser har fremhævet de farer, der lurer i udbredte meddelelsesapplikationer, med sofistikerede malware-kampagner rettet mod intetanende brugere. Denne artikel udforsker stigningen i disse trusler med fokus på to væsentlige tilfælde: det truende Pidgin-plugin og en kompromitteret forgrening af Signal-applikationen.

Pidgin-plugin-infiltrationen

Den 22. august 2024 afslørede Pidgin, en populær open source-meddelelsesapplikation, at et beskadiget plugin ved navn ScreenShare-OTR (ss-otr) havde infiltreret dets officielle tredjeparts plugins-liste. Pluginnet, der blev markedsført som et værktøj til skærmdeling over Off-the-Record (OTR)-meddelelsesprotokollen, viste sig at indeholde ondsindet kode. Til at begynde med forblev det ubemærket på grund af fraværet af kildekode og tilgængeligheden af kun binære filer til download - en kritisk forglemmelse, der gjorde det muligt for truslen at sprede sig uopdaget.

Truende egenskaber afdækket

En grundig analyse foretaget af cybersikkerhedsforskere afslørede den sande natur af ScreenShare-OTR-plugin'et. Undersøgelsen afslørede, at pluginnet var designet til at udføre flere ondsindede aktiviteter:

  • Tastelogning : Pluginnet kunne logge tastetryk, fange følsomme oplysninger såsom adgangskoder og private beskeder.
  • Deling af skærmbilleder : Pluginnet tog skærmbilleder og sendte dem til sine operatører, hvilket potentielt afslørede fortrolige oplysninger.
  • Download og eksekvering af svigagtige binære filer : Pluginnet er forbundet til en kriminel-kontrolleret server for at downloade og udføre yderligere usikre nyttelaster, inklusive et PowerShell-script og den berygtede DarkGate- malware.

Plugin-installatøren blev underskrevet med et legitimt certifikat udstedt til et polsk firma, hvilket gav det en finér af ægthed, der sandsynligvis hjalp med at omgå sikkerhedsforanstaltninger. Både Windows- og Linux-versioner af plugin'et udviste lignende ondsindet adfærd, hvilket demonstrerer truslen på tværs af platforme, som dette angreb udgør.

De bredere implikationer

Yderligere undersøgelser afslørede, at webstedet, der var vært for de usikre nyttelaster, udgjorde sig som et legitimt plugin-lager. Det tilbød også andre populære plugins som OMEMO, Pidgin Paranoia og Window Merge, som kunne være blevet kompromitteret. Desuden blev den samme bagdør fundet i ScreenShare-OTR-plugin'et opdaget i Cradle, et program, der fakturerede sig selv som 'anti-forensic messaging-software'.

Vugge: En formodet signalgaffel

Cradle udgør en mere lumsk risiko på grund af dens tilknytning til Signal, en af de mest betroede sikre meddelelsesapplikationer. Selvom Cradle er en open source-fork af Signal, er den hverken sponsoreret af eller tilknyttet Signal Foundation. På trods af dette lykkedes det at overbevise brugerne om dens legitimitet, dels fordi dens forgrenede kildekode delvist var tilgængelig på GitHub.

En dybere inspektion afslørede dog, at Cradle blev bygget ved hjælp af en anden kode end den, der var offentlig tilgængelig. Applikationen var indlejret med den samme ondsindede kode som ScreenShare-OTR-plugin'et, der var i stand til at downloade scripts, der implementerede DarkGate-malwaren. Tilstedeværelsen af denne malware i både Windows- og Linux-versionerne af Cradle understregede yderligere de risici på tværs af platforme, som disse angreb udgør.

DarkGate: En vedvarende og udviklende trussel

DarkGate er ikke en ny spiller i malware-økosystemet. Først dokumenteret i 2018, har det udviklet sig til en sofistikeret Malware-as-a-Service (MaaS) platform. DarkGate tilbyder en bred vifte af muligheder, herunder:

  • Hidden Virtual Network Computing (hVNC)
  • Fjernudførelse af kode
  • Kryptominering
  • Omvendt Shell Access

Malwaren opererer under en stramt kontrolleret distributionsmodel, som kun er tilgængelig for en udvalgt gruppe af kunder. Efter en periode med relativ dvale dukkede DarkGate op igen med en hævn i september 2023 efter afbrydelsen og nedtagningen af Qakbot- infrastrukturen. Denne genopblussen faldt sammen med flere højprofilerede malware-kampagner, hvilket indikerer, at DarkGate var blevet et yndet værktøj blandt cyberkriminelle.

DarkGate Malware: Infektionsvektorer og global indvirkning

DarkGates genopblussen har været præget af dens udbredte fordeling på tværs af forskellige vektorer. Siden august 2023 har cybersikkerhedsforskere observeret adskillige kampagner, der udnytter forskellige metoder til at inficere ofre med DarkGate:

  • Teams Chats : Ofre blev narret til at downloade DarkGate-installationsprogrammet via links sendt gennem Microsoft Teams.
  • E-mailvedhæftede filer : E-mails, der indeholdt kabinetarkiver (.cab) blev brugt til at lokke ofre til at downloade og udføre usikkert indhold.
  • DLL Sideloading : Legitime programmer blev udnyttet til at sideloade DarkGate via dynamiske linkbiblioteker (DLL'er).
  • Ødelagte PDF'er : PDF-vedhæftede filer med links til ZIP-arkiver indeholdende Windows-genvejsfiler (.lnk) blev brugt til at implementere DarkGate.
  • Java-arkiv (.jar)-filer : Sårbare værter blev inficeret gennem Java-arkivfiler.
  • HTML-filer: Brugere blev bedraget til at kopiere og indsætte ondsindede scripts fra HTML-filer i Windows Run-bjælken.
  • Svigagtige annoncer : Annoncebaserede kampagner distribuerede DarkGate-malware til intetanende brugere.
  • Åbne Samba-filshares: Servere, der kører åbne Samba-filshares, blev brugt til at hoste filer for DarkGate-infektioner.

Global rækkevidde og effekt

Disse kampagner har ikke været begrænset til en bestemt region. DarkGate-infektioner er blevet rapporteret over hele Nordamerika, Europa og betydelige dele af Asien. Malwarens evne til at tilpasse sig forskellige leveringsmekanismer og dens avancerede undvigelsesteknikker har gjort den til en formidabel modstander for cybersikkerhedsprofessionelle verden over.

I januar 2024 udgav DarkGate sin sjette store version, med den afdækkede prøve identificeret som version 6.1.6. Denne kontinuerlige udvikling og forfining understreger truslens vedholdenhed og vigtigheden af årvågenhed i at opdage og afbøde sådanne angreb.

Konklusion: Styrkelse af forsvaret mod skiftende trusler

De seneste malware-kampagner rettet mod Pidgin- og Cradle-brugere fremhæver de udviklende taktikker, der anvendes af cyberkriminelle. Brugen af tilsyneladende legitime applikationer og plugins som vektorer til levering af sofistikeret malware som DarkGate understreger behovet for robuste cybersikkerhedsforanstaltninger. Brugere skal udvise forsigtighed, når de downloader plugins eller applikationer fra tredjeparter, selv fra tilsyneladende velrenommerede kilder. I mellemtiden skal udviklere og sikkerhedsprofessionelle arbejde sammen for at styrke sikkerheden i softwareøkosystemer og sikre, at sådanne trusler identificeres og neutraliseres, før de kan forårsage omfattende skade.

I en tid, hvor digitale kommunikationsværktøjer er allestedsnærværende, har indsatsen aldrig været højere. I takt med at trusselsaktører fortsætter med at innovere, skal vores forsvar også gøre det. Kampen mod malware som DarkGate er i gang, men med en gradvist større bevidsthed og proaktive vaner kan vi være et skridt foran angriberne.

Trending

Mest sete

Indlæser...