Търсене
Close this search box.

Наблюдавани са заплахи, които доставят зловреден софтуер на потребители на приложения за незабавни съобщения, включително чрез зловреден плъгин за Pidgin и неофициално разклонение на приложението Signal.

На 22 август разработчиците на приложението за съобщения Pidgin информираха потребителите, че са узнали, че злонамерена приставка, наречена ScreenShare-OTR (ss-otr), е попаднала в официалния списък с приставки на трети страни.

Анализът разкри, че плъгинът съдържа код за следене на клавиши и споделя скрийншоти с операторите си. Плъгинът беше премахнат, а Pidgin обеща да предприеме мерки за предотвратяване на бъдещи инциденти.

„По онова време остана незабелязано, че плъгинът не предоставяше никакъв изходен код и предоставяше само двоични файлове за изтегляне“, заявиха разработчиците на Pidgin.

Анализът, извършен от фирмата за киберсигурност ESET, показа, че плъгинът на Pidgin е съдържал зловреден код, предназначен за изтегляне и изпълнение на двоични файлове от контролиран от нападателя сървър.

Както беше рекламирана, приставката предоставяше функционалност за споделяне на екрани чрез протокола за съобщения off-the-record (OTR), а инсталаторът ѝ беше подписан с валиден сертификат, издаден на полска компания.

Приставката обаче също така позволяваше на операторите си да изтеглят и изпълняват скрипт на PowerShell и зловреден софтуер, известен като DarkGate. Версията на приставката за Linux имаше подобна функционалност.

Разследването на ESET на сайта, от който са били изтеглени зловредните товари, показа, че той е бил създаден да изглежда като хранилище за плъгини, предлагайки плъгини като OMEMO, Pidgin Paranoia, Window Merge, Master Password и HTTP File Upload.

Един ден по-късно ESET информира клиентите си, че задната врата, открита в злонамерения плъгин Pidgin, е била забелязана и в Cradle, който се рекламира като „софтуер за антикриминални съобщения“.

Cradle е разклонение с отворен код на приложението Signal, но не е спонсорирано от или свързано със Signal Messenger или фондацията Signal.

ESET установи, че макар разклоненият изходен код да е частично достъпен в GitHub, приложението всъщност е създадено с помощта на различен код и включва зловреден код, който е присъствал и в приставката ScreenShare-OTR.

Зловредното приложение Cradle е подписано със същия сертификат и също така е предназначено за изтегляне на скриптове, които разгръщат зловредния софтуер DarkGate. Според ESET DarkGate е използван за кражба на идентификационни данни, регистриране на натискания на клавиши и за предоставяне на възможности за отдалечен работен плот. Налична е и версия на зловредното приложение Cradle за Linux.

ESET е споделила индикатори за компрометиране (IoC) както за зловредния плъгин Pidgin, така и за приложението Cradle.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
10/10/2024

Нов проект на Google има за...

Днес Google обяви старта на Глобалния...
06/10/2024

Кибератаките в образованиет...

Киберпрестъпниците се насочват към образователните институции,...
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!