У світі кібербезпеки виникла нова загроза: популярний месенджер Pidgin став мішенню зловмисників через вразливий плагін ScreenShareOTR. Експерти виявили, що цей додаток, який позиціонувався як інструмент для безпечного обміну екраном, насправді використовувався для розповсюдження небезпечного шкідливого програмного забезпечення.
Анатомія кіберзагрози: як працював ScreenShareOTR
Плагін ScreenShareOTR рекламувався як рішення для захищеного обміну екраном з використанням протоколу Off-The-Record (OTR). Він був доступний для версій Pidgin під Windows та Linux. Однак, за даними аналітиків компанії ESET, цей плагін насправді заражав системи користувачів шкідливим ПЗ DarkGate.
DarkGate – це потужний інструмент, який хакери активно використовують для проникнення в корпоративні мережі, особливо після ліквідації інфраструктури іншого відомого шкідливого ПЗ – QBot. Плагін ScreenShareOTR став “троянським конем” для доставки DarkGate на комп’ютери ні про що не підозрюючих користувачів.
Хронологія подій: від появи до видалення вразливого плагіна
Згідно з офіційною заявою розробників Pidgin, плагін ScreenShareOTR (ss-otr) був доданий до офіційного репозиторію 6 липня 2024 року. Лише 16 серпня, після повідомлень про наявність в ньому кейлоггера та інструменту для захоплення скріншотів, плагін було видалено. Розслідування підтвердило наявність шкідливого коду 22 серпня за допомогою спеціаліста з інформаційної безпеки Джонні Ксмаса.
Технічні деталі шкідливого плагіна
Дослідники з ESET виявили, що інсталятор плагіна був підписаний дійсним цифровим сертифікатом польської компанії INTERREX – SP.Z O.O. Це дозволило обійти стандартні механізми захисту. Шкідливий код в плагіні завантажував додаткові бінарні файли з сервера зловмисників (jabberplugins[.]net). Корисне навантаження складалося з PowerShell-скриптів або самого шкідливого ПЗ DarkGate, яке також було підписане сертифікатом Interrex.
Масштаби загрози: не лише ScreenShareOTR
Експерти ESET виявили, що на тому ж шкідливому сервері розміщувалися й інші плагіни: OMEMO, Pidgin Paranoia, Master Password, Window Merge та HTTP File Upload. З високою ймовірністю, ці плагіни також поширювали DarkGate, що свідчить про масштабну кампанію кіберзлочинців.
Рекомендації щодо безпеки
Усім користувачам, які встановили плагін ScreenShareOTR або інші підозрілі плагіни для Pidgin, настійно рекомендується негайно видалити їх та провести повне сканування системи надійним антивірусним програмним забезпеченням. Існує висока ймовірність зараження системи шкідливим ПЗ DarkGate.
Цей інцидент підкреслює важливість обережності при встановленні сторонніх плагінів та розширень, навіть з офіційних джерел. Регулярні перевірки безпеки, оновлення програмного забезпечення та використання надійних засобів захисту залишаються ключовими елементами в забезпеченні кібербезпеки як для індивідуальних користувачів, так і для організацій.