Наблюдавани са заплахи, които доставят зловреден софтуер на потребители на приложения за незабавни съобщения, включително чрез зловреден плъгин за Pidgin и неофициално разклонение на приложението Signal.
На 22 август разработчиците на приложението за съобщения Pidgin информираха потребителите, че са узнали, че злонамерена приставка, наречена ScreenShare-OTR (ss-otr), е попаднала в официалния списък с приставки на трети страни.
Анализът разкри, че плъгинът съдържа код за следене на клавиши и споделя скрийншоти с операторите си. Плъгинът беше премахнат, а Pidgin обеща да предприеме мерки за предотвратяване на бъдещи инциденти.
„По онова време остана незабелязано, че плъгинът не предоставяше никакъв изходен код и предоставяше само двоични файлове за изтегляне“, заявиха разработчиците на Pidgin.
Анализът, извършен от фирмата за киберсигурност ESET, показа, че плъгинът на Pidgin е съдържал зловреден код, предназначен за изтегляне и изпълнение на двоични файлове от контролиран от нападателя сървър.
Както беше рекламирана, приставката предоставяше функционалност за споделяне на екрани чрез протокола за съобщения off-the-record (OTR), а инсталаторът ѝ беше подписан с валиден сертификат, издаден на полска компания.
Приставката обаче също така позволяваше на операторите си да изтеглят и изпълняват скрипт на PowerShell и зловреден софтуер, известен като DarkGate. Версията на приставката за Linux имаше подобна функционалност.
Разследването на ESET на сайта, от който са били изтеглени зловредните товари, показа, че той е бил създаден да изглежда като хранилище за плъгини, предлагайки плъгини като OMEMO, Pidgin Paranoia, Window Merge, Master Password и HTTP File Upload.
Един ден по-късно ESET информира клиентите си, че задната врата, открита в злонамерения плъгин Pidgin, е била забелязана и в Cradle, който се рекламира като „софтуер за антикриминални съобщения“.
Cradle е разклонение с отворен код на приложението Signal, но не е спонсорирано от или свързано със Signal Messenger или фондацията Signal.
ESET установи, че макар разклоненият изходен код да е частично достъпен в GitHub, приложението всъщност е създадено с помощта на различен код и включва зловреден код, който е присъствал и в приставката ScreenShare-OTR.
Зловредното приложение Cradle е подписано със същия сертификат и също така е предназначено за изтегляне на скриптове, които разгръщат зловредния софтуер DarkGate. Според ESET DarkGate е използван за кражба на идентификационни данни, регистриране на натискания на клавиши и за предоставяне на възможности за отдалечен работен плот. Налична е и версия на зловредното приложение Cradle за Linux.
ESET е споделила индикатори за компрометиране (IoC) както за зловредния плъгин Pidgin, така и за приложението Cradle.
