In der Cybersecurity-Branche sorgt derzeit ein Fall für Aufsehen, der die Gefahren von vermeintlich harmlosen Software-Erweiterungen verdeutlicht. Das beliebte Instant-Messaging-Programm Pidgin stand im Zentrum einer ausgeklügelten Malware-Kampagne, bei der Cyberkriminelle ein scheinbar nützliches Plugin als Einfallstor für Schadsoftware missbrauchten.
ScreenShareOTR: Vom Hilfsmittel zur Bedrohung
Das Plugin namens ScreenShareOTR wurde ursprünglich als Lösung für sicheres Screen-Sharing unter Verwendung des Off-The-Record (OTR) Protokolls beworben. Es war für Windows- und Linux-Versionen von Pidgin verfügbar und wurde am 6. Juli 2023 in das offizielle Plugin-Verzeichnis aufgenommen. Erst am 16. August 2023 wurde es nach Berichten über eingebaute Keylogger und Screenshot-Capture-Funktionen entfernt.
Analyse der Malware-Funktionen
Sicherheitsexperten von ESET haben die Funktionsweise des kompromittierten Plugins genauer untersucht. Sie stellten fest, dass der Installer mit einem gültigen digitalen Zertifikat der polnischen Firma INTERREX – SP.Z O.O signiert war, was zur Täuschung von Sicherheitssystemen beitrug. Der schädliche Code ermöglichte das Nachladen zusätzlicher Binärdateien von einem von Angreifern kontrollierten Server (jabberplugins[.]net).
DarkGate als Hauptbedrohung
Die Hauptkomponente der Malware wurde als DarkGate identifiziert – ein gefährlicher Kryptotrojaner, der seit der Zerschlagung des QBot-Netzwerks durch Behörden verstärkt von Cyberkriminellen eingesetzt wird. DarkGate ermöglicht den Angreifern weitreichenden Zugriff auf infizierte Systeme und wird oft als Ausgangspunkt für weitergehende Netzwerkkompromittierungen genutzt.
Umfang der Bedrohung
Die Untersuchungen ergaben, dass ScreenShareOTR nur ein Teil einer größeren Kampagne war. Auf dem inzwischen entfernten Server wurden weitere verdächtige Pidgin-Plugins gefunden, darunter OMEMO, Pidgin Paranoia, Master Password, Window Merge und HTTP File Upload. Es wird vermutet, dass auch diese zur Verbreitung von DarkGate dienten.
Empfehlungen für betroffene Nutzer
Allen Nutzern, die ScreenShareOTR oder eines der anderen verdächtigen Plugins installiert haben, wird dringend empfohlen:
- Das Plugin umgehend zu deinstallieren
- Eine gründliche Systemprüfung mit aktueller Antiviren-Software durchzuführen
- Im Verdachtsfall professionelle IT-Sicherheitsexperten hinzuzuziehen
Dieser Vorfall unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei der Installation von Software-Erweiterungen, selbst aus vermeintlich vertrauenswürdigen Quellen. Er zeigt auch die Schwachstellen in den Überprüfungsmechanismen vieler Open-Source-Projekte auf. Für Unternehmen und Privatanwender gleichermaßen ist es unerlässlich, robuste Sicherheitsmaßnahmen zu implementieren und stets auf dem neuesten Stand der Cybersicherheit zu bleiben, um sich vor solch raffinierten Angriffen zu schützen.
