Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Bösartiges Pidgin-Plugin

Bösartiges Pidgin-Plugin

Von Mezo in Malware
Übersetzen Sie in:
Deutsch

Die digitale Landschaft entwickelt sich ständig weiter, und Instant-Messaging-Anwendungen werden zu einem integralen Bestandteil der persönlichen und beruflichen Kommunikation. Allerdings sind diese Plattformen auch zu einem Hauptziel für Bedrohungsakteure geworden. Jüngste Cybersicherheitsvorfälle haben die Gefahren aufgezeigt, die in weit verbreiteten Messaging-Anwendungen lauern, da ausgeklügelte Malware-Kampagnen auf ahnungslose Benutzer abzielen. Dieser Artikel untersucht den Anstieg dieser Bedrohungen und konzentriert sich dabei auf zwei bedeutende Fälle: das bedrohliche Pidgin-Plugin und einen kompromittierten Fork der Signal-Anwendung.

Die Infiltration des Pidgin-Plugins

Am 22. August 2024 gab Pidgin, eine beliebte Open-Source-Messaging-Anwendung, bekannt, dass ein infiziertes Plugin namens ScreenShare-OTR (ss-otr) in die offizielle Liste der Drittanbieter-Plugins eingedrungen war. Das Plugin, das als Tool für die Bildschirmfreigabe über das Off-the-Record (OTR)-Messaging-Protokoll vermarktet wurde, enthielt schändlichen Code. Zunächst blieb es unbemerkt, da der Quellcode fehlte und nur Binärdateien zum Download verfügbar waren – ein schwerwiegendes Versäumnis, durch das sich die Bedrohung unentdeckt verbreiten konnte.

Bedrohliche Fähigkeiten aufgedeckt

Eine gründliche Analyse durch Cybersicherheitsforscher deckte die wahre Natur des ScreenShare-OTR-Plugins auf. Die Untersuchung ergab, dass das Plugin für mehrere bösartige Aktivitäten konzipiert war:

  • Keylogging : Das Plug-In kann Tastatureingaben protokollieren und so vertrauliche Informationen wie Passwörter und private Nachrichten erfassen.
  • Screenshot-Sharing : Das Plugin machte Screenshots und schickte sie an seine Betreiber, wodurch möglicherweise vertrauliche Informationen preisgegeben wurden.
  • Herunterladen und Ausführen betrügerischer Binärdateien : Das Plug-In ist mit einem von Kriminellen kontrollierten Server verbunden, um weitere unsichere Nutzdaten herunterzuladen und auszuführen, darunter ein PowerShell-Skript und die berüchtigte DarkGate- Malware.

Das Installationsprogramm des Plugins war mit einem gültigen Zertifikat signiert, das an ein polnisches Unternehmen ausgestellt wurde. Dies verlieh ihm einen Anschein von Authentizität, der wahrscheinlich dazu beitrug, Sicherheitsmaßnahmen zu umgehen. Sowohl die Windows- als auch die Linux-Version des Plugins zeigten ein ähnlich bösartiges Verhalten, was die plattformübergreifende Bedrohung durch diesen Angriff veranschaulicht.

Die umfassenderen Auswirkungen

Weitere Untersuchungen ergaben, dass sich die Site, auf der die unsicheren Payloads gehostet wurden, als legitimes Plugin-Repository ausgab. Sie bot auch andere beliebte Plugins wie OMEMO, Pidgin Paranoia und Window Merge an, die möglicherweise kompromittiert worden waren. Darüber hinaus wurde dieselbe Hintertür, die im ScreenShare-OTR-Plugin gefunden wurde, in Cradle entdeckt, einer Anwendung, die sich selbst als „Anti-Forensik-Messaging-Software“ anpries.

Cradle: Eine angebliche Signalgabel

Cradle stellt aufgrund seiner Verbindung mit Signal, einer der vertrauenswürdigsten sicheren Messaging-Anwendungen, ein noch größeres Risiko dar. Obwohl Cradle ein Open-Source-Fork von Signal ist, wird es weder von der Signal Foundation gesponsert noch ist es mit ihr verbunden. Trotzdem gelang es ihm, die Benutzer von seiner Legitimität zu überzeugen, teilweise weil sein geforkter Quellcode teilweise auf GitHub verfügbar war.

Bei genauerer Untersuchung stellte sich jedoch heraus, dass Cradle mit einem anderen Code erstellt wurde als dem, der öffentlich verfügbar war. In die Anwendung war derselbe Schadcode eingebettet wie das ScreenShare-OTR-Plugin, das Skripte herunterladen konnte, die die DarkGate-Malware verbreiteten. Das Vorhandensein dieser Malware sowohl in der Windows- als auch in der Linux-Version von Cradle unterstrich die plattformübergreifenden Risiken dieser Angriffe noch weiter.

DarkGate: Eine anhaltende und sich weiterentwickelnde Bedrohung

DarkGate ist kein neuer Akteur im Malware-Ökosystem. Es wurde erstmals 2018 dokumentiert und hat sich zu einer hochentwickelten Malware-as-a-Service (MaaS)-Plattform entwickelt. DarkGate bietet eine breite Palette von Funktionen, darunter:

  • Verstecktes virtuelles Netzwerk-Computing (hVNC)
  • Remotecodeausführung
  • Kryptomining
  • Umgekehrter Shell-Zugriff

Die Malware arbeitet nach einem streng kontrollierten Vertriebsmodell und ist nur einem ausgewählten Kundenkreis zugänglich. Nach einer Phase relativer Inaktivität tauchte DarkGate im September 2023 mit aller Macht wieder auf, nachdem die Qakbot- Infrastruktur gestört und abgeschaltet wurde. Dieses Wiederaufleben fiel mit mehreren hochkarätigen Malware-Kampagnen zusammen, was darauf hindeutet, dass DarkGate zu einem beliebten Werkzeug unter Cyberkriminellen geworden ist.

Die DarkGate-Malware: Infektionsvektoren und globale Auswirkungen

Das Wiederaufleben von DarkGate war durch seine weite Verbreitung über verschiedene Vektoren gekennzeichnet. Seit August 2023 haben Cybersicherheitsforscher zahlreiche Kampagnen beobachtet, die unterschiedliche Methoden nutzen, um Opfer mit DarkGate zu infizieren:

  • Teams-Chats : Opfer wurden dazu verleitet, das DarkGate-Installationsprogramm über Links herunterzuladen, die über Microsoft Teams gesendet wurden.
  • E-Mail-Anhänge : E-Mails mit Cabinet-Archiven (.cab) wurden verwendet, um Opfer zum Herunterladen und Ausführen unsicherer Inhalte zu verleiten.
  • DLL-Sideloading : Legitime Programme wurden ausgenutzt, um DarkGate über Dynamic Link Libraries (DLLs) zu sideloaden.
  • Beschädigte PDFs : Zur Bereitstellung von DarkGate wurden PDF-Anhänge mit Links zu ZIP-Archiven verwendet, die Windows-Verknüpfungsdateien (.lnk) enthielten.
  • Java-Archivdateien (.jar) : Anfällige Hosts wurden über Java-Archivdateien infiziert.
  • HTML-Dateien: Benutzer wurden dazu verleitet, schädliche Skripts aus HTML-Dateien zu kopieren und in die Windows-Ausführungsleiste einzufügen.
  • Betrügerische Werbung : Über werbebasierte Kampagnen wurde die DarkGate-Malware an ahnungslose Benutzer verteilt.
  • Offene Samba-Dateifreigaben: Server mit offenen Samba-Dateifreigaben wurden zum Hosten von Dateien für DarkGate-Infektionen verwendet.

Globale Reichweite und Wirkung

Diese Kampagnen waren nicht auf eine bestimmte Region beschränkt. DarkGate-Infektionen wurden in Nordamerika, Europa und großen Teilen Asiens gemeldet. Die Fähigkeit der Malware, sich an verschiedene Verbreitungsmechanismen anzupassen, und ihre fortschrittlichen Ausweichtechniken haben sie zu einem ernstzunehmenden Gegner für Cybersicherheitsexperten weltweit gemacht.

Im Januar 2024 veröffentlichte DarkGate seine sechste Hauptversion, wobei das entdeckte Sample als Version 6.1.6 identifiziert wurde. Diese kontinuierliche Weiterentwicklung und Verfeinerung unterstreicht die Hartnäckigkeit der Bedrohung und die Bedeutung von Wachsamkeit bei der Erkennung und Eindämmung solcher Angriffe.

Fazit: Stärkung der Abwehrmaßnahmen gegen sich entwickelnde Bedrohungen

Die jüngsten Malware-Kampagnen, die auf Pidgin- und Cradle-Benutzer abzielen, zeigen die sich entwickelnden Taktiken der Cyberkriminellen. Die Verwendung scheinbar legitimer Anwendungen und Plugins als Vektoren für die Verbreitung anspruchsvoller Malware wie DarkGate unterstreicht die Notwendigkeit robuster Cybersicherheitsmaßnahmen. Benutzer müssen beim Herunterladen von Plugins oder Anwendungen von Drittanbietern vorsichtig sein, selbst aus scheinbar seriösen Quellen. Gleichzeitig müssen Entwickler und Sicherheitsexperten zusammenarbeiten, um die Sicherheit von Software-Ökosystemen zu stärken und sicherzustellen, dass solche Bedrohungen identifiziert und neutralisiert werden, bevor sie weitreichenden Schaden anrichten können.

In einer Zeit, in der digitale Kommunikationsmittel allgegenwärtig sind, standen die Risiken noch nie so hoch wie heute. Da Bedrohungsakteure immer innovativer werden, müssen auch unsere Abwehrmaßnahmen verbessert werden. Der Kampf gegen Malware wie DarkGate geht weiter, aber mit zunehmender Sensibilisierung und proaktiven Verhaltensweisen können wir den Angreifern immer einen Schritt voraus sein.

Im Trend

Am häufigsten gesehen

Wird geladen...