В мире кибербезопасности произошло тревожное событие: из официального репозитория плагинов для популярного мессенджера Pidgin был удален плагин ScreenShareOTR. Причина удаления — использование плагина для распространения вредоносного ПО, включая кейлоггеры и инфостилеры, которые часто применяются злоумышленниками для получения первоначального доступа к корпоративным сетям.
Анализ угрозы: что известно о вредоносном плагине
ScreenShareOTR позиционировался как решение для безопасного обмена экраном с использованием протокола Off-The-Record (OTR). Плагин был доступен для версий Pidgin под Windows и Linux. Однако, согласно данным экспертов по кибербезопасности из компании ESET, вредоносный плагин заражал системы пользователей малварью DarkGate — инструментом, который хакеры активно используют для взлома сетей после ликвидации инфраструктуры QBot правоохранительными органами.
Хронология событий и механизм распространения
Плагин ss-otr (ScreenShareOTR) был добавлен в официальный список плагинов Pidgin 6 июля 2024 года. Только 16 августа, после сообщений о наличии в нем кейлоггера и инструмента для захвата скриншотов, плагин был удален из списка. Расследование подтвердило наличие вредоносного кода 22 августа.
Установщик плагина был подписан действительным цифровым сертификатом польской компании INTERREX — SP.Z O.O, что позволило обойти стандартные механизмы защиты. Вредоносный код в плагине загружал дополнительные компоненты с сервера злоумышленников (jabberplugins[.]net), включая PowerShell-скрипты и малварь DarkGate.
Масштаб угрозы и связанные риски
Исследователи обнаружили, что на том же вредоносном сервере размещались и другие подозрительные плагины: OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload. Эксперты предполагают, что эти плагины также могли распространять DarkGate, и ScreenShareOTR был лишь частью более масштабной кампании по распространению вредоносного ПО.
Рекомендации по безопасности
Всем пользователям, установившим плагин ScreenShareOTR или другие подозрительные плагины, настоятельно рекомендуется немедленно удалить их и провести полное сканирование системы надежным антивирусным ПО. Существует высокий риск заражения системы малварью DarkGate, которая может предоставить злоумышленникам доступ к конфиденциальной информации и корпоративным ресурсам.
Этот инцидент подчеркивает важность тщательной проверки сторонних плагинов и расширений, даже если они распространяются через официальные каналы. Организациям следует усилить контроль над установкой программного обеспечения на корпоративные устройства и регулярно проводить аудит безопасности используемых приложений и плагинов. Разработчикам платформ, подобных Pidgin, рекомендуется внедрить более строгие механизмы проверки и верификации сторонних компонентов для предотвращения подобных инцидентов в будущем.