Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Complemento Pidgin malicioso

Complemento Pidgin malicioso

Por Mezo en Software malicioso
Traducir a:
Español

El panorama digital está en constante evolución y las aplicaciones de mensajería instantánea se han convertido en parte integral de la comunicación personal y profesional. Sin embargo, estas plataformas también se han convertido en objetivos principales para los actores de amenazas. Los recientes incidentes de ciberseguridad han puesto de relieve los peligros que acechan en las aplicaciones de mensajería ampliamente utilizadas, con sofisticadas campañas de malware dirigidas a usuarios desprevenidos. Este artículo explora el auge de estas amenazas, centrándose en dos casos importantes: el amenazante complemento Pidgin y una bifurcación comprometida de la aplicación Signal.

La infiltración del complemento Pidgin

El 22 de agosto de 2024, Pidgin, una popular aplicación de mensajería de código abierto, reveló que un complemento corrupto llamado ScreenShare-OTR (ss-otr) se había infiltrado en su lista oficial de complementos de terceros. Se descubrió que el complemento, que se comercializaba como una herramienta para compartir la pantalla a través del protocolo de mensajería Off-the-Record (OTR), contenía código malicioso. Inicialmente, pasó desapercibido debido a la ausencia de código fuente y la disponibilidad de solo archivos binarios para descargar, un descuido crítico que permitió que la amenaza se propagara sin ser detectada.

Capacidades amenazantes descubiertas

Un análisis exhaustivo realizado por investigadores de ciberseguridad reveló la verdadera naturaleza del complemento ScreenShare-OTR. La investigación reveló que el complemento estaba diseñado para realizar varias actividades maliciosas:

  • Registro de teclas : el complemento puede registrar pulsaciones de teclas y capturar información confidencial como contraseñas y mensajes privados.
  • Intercambio de capturas de pantalla : el complemento tomó capturas de pantalla y las envió a sus operadores, exponiendo potencialmente información confidencial.
  • Descarga y ejecución de binarios fraudulentos : el complemento está conectado a un servidor controlado por criminales para descargar y ejecutar otras cargas útiles inseguras, incluido un script de PowerShell y el conocido malware DarkGate .

El instalador del complemento estaba firmado con un certificado legítimo emitido a una empresa polaca, lo que le daba una apariencia de autenticidad que probablemente ayudó a eludir las medidas de seguridad. Las versiones del complemento para Windows y Linux mostraron un comportamiento malicioso similar, lo que demuestra la amenaza multiplataforma que plantea este ataque.

Las implicaciones más amplias

Una investigación posterior reveló que el sitio que alojaba las cargas útiles inseguras se hacía pasar por un repositorio de complementos legítimo. También ofrecía otros complementos populares como OMEMO, Pidgin Paranoia y Window Merge, que podrían haber sido comprometidos. Además, la misma puerta trasera encontrada en el complemento ScreenShare-OTR se descubrió en Cradle, una aplicación que se promocionaba como "software de mensajería anti-forense".

Cradle: una supuesta bifurcación de señal

Cradle presenta un riesgo más insidioso debido a su asociación con Signal, una de las aplicaciones de mensajería segura más confiables. Aunque Cradle es una bifurcación de código abierto de Signal, no está patrocinada ni afiliada a la Signal Foundation. A pesar de esto, logró convencer a los usuarios de su legitimidad, en parte porque su código fuente bifurcado estaba parcialmente disponible en GitHub.

Sin embargo, una inspección más profunda reveló que Cradle se creó utilizando un código diferente al que estaba disponible públicamente. La aplicación tenía integrado el mismo código malicioso que el complemento ScreenShare-OTR, capaz de descargar scripts que implementaban el malware DarkGate. La presencia de este malware tanto en la versión de Cradle para Windows como para Linux subrayó aún más los riesgos multiplataforma que plantean estos ataques.

DarkGate: una amenaza persistente y en evolución

DarkGate no es un actor nuevo en el ecosistema del malware. Documentado por primera vez en 2018, ha evolucionado hasta convertirse en una sofisticada plataforma de malware como servicio (MaaS). DarkGate ofrece una amplia gama de capacidades, entre las que se incluyen:

  • Computación en red virtual oculta (hVNC)
  • Ejecución remota de código
  • Criptominería
  • Acceso a shell inverso

El malware opera bajo un modelo de distribución estrictamente controlado, disponible solo para un grupo selecto de clientes. Después de un período de relativa inactividad, DarkGate resurgió con fuerza en septiembre de 2023 tras la interrupción y el desmantelamiento de la infraestructura de Qakbot . Este resurgimiento coincidió con varias campañas de malware de alto perfil, lo que indica que DarkGate se había convertido en una herramienta favorita entre los ciberdelincuentes.

El malware DarkGate: vectores de infección e impacto global

El resurgimiento de DarkGate se ha caracterizado por su amplia distribución a través de varios vectores. Desde agosto de 2023, los investigadores de ciberseguridad han observado numerosas campañas que aprovechan diferentes métodos para infectar a las víctimas con DarkGate:

  • Chats de Teams : Las víctimas fueron engañadas para que descargaran el instalador de DarkGate a través de enlaces enviados a través de Microsoft Teams.
  • Archivos adjuntos de correo electrónico : se utilizaron correos electrónicos que contenían archivos .cab (cab) para engañar a las víctimas para que descargaran y ejecutaran contenido inseguro.
  • Carga lateral de DLL : se explotaron programas legítimos para cargar lateralmente DarkGate a través de bibliotecas de vínculos dinámicos (DLL).
  • Archivos PDF corruptos : se usaron archivos PDF adjuntos con enlaces a archivos ZIP que contenían archivos de acceso directo de Windows (.lnk) para implementar DarkGate.
  • Archivos Java (.jar) : los hosts vulnerables fueron infectados a través de archivos Java.
  • Archivos HTML: Los usuarios fueron engañados para que copiaran y pegaran scripts maliciosos desde archivos HTML en la barra Ejecutar de Windows.
  • Anuncios fraudulentos : las campañas basadas en anuncios distribuyeron el malware DarkGate a usuarios desprevenidos.
  • Recursos compartidos de archivos Samba abiertos: se utilizaron servidores que ejecutaban recursos compartidos de archivos Samba abiertos para alojar archivos para infecciones de DarkGate.

Alcance e impacto global

Estas campañas no se han limitado a una región específica. Se han reportado infecciones de DarkGate en América del Norte, Europa y partes importantes de Asia. La capacidad del malware para adaptarse a diferentes mecanismos de distribución y sus técnicas avanzadas de evasión lo han convertido en un adversario formidable para los profesionales de la ciberseguridad en todo el mundo.

En enero de 2024, DarkGate lanzó su sexta versión principal, y la muestra descubierta se identificó como la versión 6.1.6. Este desarrollo y perfeccionamiento continuos subrayan la persistencia de la amenaza y la importancia de la vigilancia para detectar y mitigar este tipo de ataques.

Conclusión: Fortalecimiento de las defensas frente a amenazas en constante evolución

Las recientes campañas de malware dirigidas a los usuarios de Pidgin y Cradle ponen de relieve la evolución de las tácticas empleadas por los ciberdelincuentes. El uso de aplicaciones y complementos aparentemente legítimos como vectores para distribuir malware sofisticado como DarkGate subraya la necesidad de adoptar medidas de ciberseguridad sólidas. Los usuarios deben tener cuidado al descargar complementos o aplicaciones de terceros, incluso de fuentes aparentemente fiables. Mientras tanto, los desarrolladores y los profesionales de la seguridad deben trabajar juntos para reforzar la seguridad de los ecosistemas de software, garantizando que dichas amenazas se identifiquen y neutralicen antes de que puedan causar daños generalizados.

En una era en la que las herramientas de comunicación digital son omnipresentes, lo que está en juego nunca ha sido tan importante. A medida que los actores de amenazas continúan innovando, también deben hacerlo nuestras defensas. La batalla contra el malware como DarkGate continúa, pero con una concienciación cada vez mayor y hábitos proactivos, podemos estar un paso por delante de los atacantes.

Tendencias

Mas Visto

Cargando...