Твитнуть
В плагине для Pidgin обнаружили малварь
Из официального репозитория плагинов Pidgin удалили плагин ScreenShareOTR. Дело в том, что он использовался для установки кейлоггеров, инфостилеров и других вредоносных программ, которые обычно применяются для получения первоначального доступа к корпоративным сетям.
Плагин рекламировался как решение для совместного использования экрана с помощью защищенного протокола Off-The-Record (OTR) и был доступен для версий Pidgin для Windows и Linux.
По данным аналитиков компании ESET, вредоносный плагин заражал системы ничего не подозревающих пользователей малварью DarkGate, которую злоумышленники применяют для взлома сетей с тех пор, как инфраструктура QBot была ликвидирована властями.
Исследователи объясняют, что у Pidgin существует система плагинов, позволяющая расширять функциональность программы, включать дополнительные функции и использовать расширенные настройки. Пользователи могут загружать плагины, используя официальный список сторонних решений, который в настоящее время насчитывает более 200 аддонов.
Согласно заявлению, опубликованному теперь на сайте проекта, вредоносный плагин ss-otr попал в упомянутый список 6 июля 2024 года и был удален оттуда только 16 августа, после сообщений о том, что он содержит кейлоггер и инструмент для захвата скриншотов.
Хотя автор ss-otr предоставил для загрузки только бинарники, а не исходный код, из-за отсутствия механизмов проверки в Pidgin никто не усомнился в его надежности.
По данным ESET, установщик плагина был подписан действительным цифровым сертификатом реальной польской компании INTERREX — SP.Z O.O и содержал вредоносный код, позволяющий загружать дополнительные бинарники с сервера злоумышленников (jabberplugins[.]net).
Полезная нагрузка представляла собой либо PowerShell-скрипты, либо упомянутую малварь DarkGate, которая также была подписана сертификатом Interrex.
По данным исследователей, на том же вредоносном сервере, который сейчас уже удален, размещались и другие плагины: OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload. Специалисты уверены, что они почти наверняка тоже распространяли DarkGate, и ScreenShareOTR был лишь небольшой частью более масштабной кампании.
Всем, кто установил этот плагин, рекомендуется немедленно удалить его и провести полное сканирование системы антивирусным инструментом, поскольку в система может быть заражена DarkGate.
Так как Pidgin не отслеживает, сколько раз был установлен тот или иной плагин, точное количество пострадавших неизвестно.
Из официального репозитория плагинов Pidgin удалили плагин ScreenShareOTR. Дело в том, что он использовался для установки кейлоггеров, инфостилеров и других вредоносных программ, которые обычно применяются для получения первоначального доступа к корпоративным сетям.
Плагин рекламировался как решение для совместного использования экрана с помощью защищенного протокола Off-The-Record (OTR) и был доступен для версий Pidgin для Windows и Linux.
По данным аналитиков компании ESET, вредоносный плагин заражал системы ничего не подозревающих пользователей малварью DarkGate, которую злоумышленники применяют для взлома сетей с тех пор, как инфраструктура QBot была ликвидирована властями.
Исследователи объясняют, что у Pidgin существует система плагинов, позволяющая расширять функциональность программы, включать дополнительные функции и использовать расширенные настройки. Пользователи могут загружать плагины, используя официальный список сторонних решений, который в настоящее время насчитывает более 200 аддонов.
Согласно заявлению, опубликованному теперь на сайте проекта, вредоносный плагин ss-otr попал в упомянутый список 6 июля 2024 года и был удален оттуда только 16 августа, после сообщений о том, что он содержит кейлоггер и инструмент для захвата скриншотов.
«Плагин ss-otr был добавлен в список 6 июля. 16 августа мы получили сообщение от [пользователя] 0xFFFC0000 о том, что плагин содержит кейлоггер и передает снимки экрана посторонним лицам. Мы немедленно удалили плагин из списка и начали расследование. 22 августа [ИБ-специалист] Johnny Xmas помог подтвердить наличие кейлоггера», — пишут разработчики.
По данным ESET, установщик плагина был подписан действительным цифровым сертификатом реальной польской компании INTERREX — SP.Z O.O и содержал вредоносный код, позволяющий загружать дополнительные бинарники с сервера злоумышленников (jabberplugins[.]net).
Полезная нагрузка представляла собой либо PowerShell-скрипты, либо упомянутую малварь DarkGate, которая также была подписана сертификатом Interrex.
По данным исследователей, на том же вредоносном сервере, который сейчас уже удален, размещались и другие плагины: OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload. Специалисты уверены, что они почти наверняка тоже распространяли DarkGate, и ScreenShareOTR был лишь небольшой частью более масштабной кампании.
Всем, кто установил этот плагин, рекомендуется немедленно удалить его и провести полное сканирование системы антивирусным инструментом, поскольку в система может быть заражена DarkGate.
Так как Pidgin не отслеживает, сколько раз был установлен тот или иной плагин, точное количество пострадавших неизвестно.