Наблюдавани са заплахи, които доставят зловреден софтуер на потребители на приложения за незабавни съобщения, включително чрез зловреден плъгин за Pidgin и неофициално разклонение на приложението Signal.
На 22 август разработчиците на приложението за съобщения Pidgin информираха потребителите, че са узнали, че злонамерена приставка, наречена ScreenShare-OTR (ss-otr), е попаднала в официалния списък с приставки на трети страни.
Анализът разкри, че плъгинът съдържа код за следене на клавиши и споделя скрийншоти с операторите си. Плъгинът беше премахнат, а Pidgin обеща да предприеме мерки за предотвратяване на бъдещи инциденти.
„По онова време остана незабелязано, че плъгинът не предоставяше никакъв изходен код и предоставяше само двоични файлове за изтегляне“, заявиха разработчиците на Pidgin.
Анализът, извършен от фирмата за киберсигурност ESET, показа, че плъгинът на Pidgin е съдържал зловреден код, предназначен за изтегляне и изпълнение на двоични файлове от контролиран от нападателя сървър.
Както беше рекламирана, приставката предоставяше функционалност за споделяне на екрани чрез протокола за съобщения off-the-record (OTR), а инсталаторът ѝ беше подписан с валиден сертификат, издаден на полска компания.
Приставката обаче също така позволяваше на операторите си да изтеглят и изпълняват скрипт на PowerShell и зловреден софтуер, известен като DarkGate. Версията на приставката за Linux имаше подобна функционалност.
Разследването на ESET на сайта, от който са били изтеглени зловредните товари, показа, че той е бил създаден да изглежда като хранилище за плъгини, предлагайки плъгини като OMEMO, Pidgin Paranoia, Window Merge, Master Password и HTTP File Upload.
Един ден по-късно ESET информира клиентите си, че задната врата, открита в злонамерения плъгин Pidgin, е била забелязана и в Cradle, който се рекламира като „софтуер за антикриминални съобщения“.
Cradle е разклонение с отворен код на приложението Signal, но не е спонсорирано от или свързано със Signal Messenger или фондацията Signal.
ESET установи, че макар разклоненият изходен код да е частично достъпен в GitHub, приложението всъщност е създадено с помощта на различен код и включва зловреден код, който е присъствал и в приставката ScreenShare-OTR.
Зловредното приложение Cradle е подписано със същия сертификат и също така е предназначено за изтегляне на скриптове, които разгръщат зловредния софтуер DarkGate. Според ESET DarkGate е използван за кражба на идентификационни данни, регистриране на натискания на клавиши и за предоставяне на възможности за отдалечен работен плот. Налична е и версия на зловредното приложение Cradle за Linux.
ESET е споделила индикатори за компрометиране (IoC) както за зловредния плъгин Pidgin, така и за приложението Cradle.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.