Вредоносное ПО проникло в официальный репозиторий плагинов мессенджера Pidgin

Приложение для обмена мгновенными сообщениями Pidgin удалило плагин ScreenShareOTR из своего официального списка сторонних плагинов после того, как было обнаружено, что он используется для установки кейлоггеров, похитителей информации и вредоносных программ, обычно применяемых для получения первоначального доступа к корпоративным сетям.

Плагин рекламировался как инструмент для обмена экранами по защищенному протоколу Off-The-Record (OTR) и был доступен для версий Pidgin для Windows и Linux.

По данным ESET, вредоносный плагин был настроен на заражение ничего не подозревающих пользователей вредоносным ПО DarkGate - мощной угрозой, которую злоумышленники используют для взлома сетей с тех пор, как QBot был ликвидирован властями.

Коварный плагин Pidgin

Pidgin - это кроссплатформенный клиент для обмена мгновенными сообщениями с открытым исходным кодом, поддерживающий множество сетей и протоколов обмена сообщениями.

Хотя он не так популярен, как в середине 2000-х годов, когда многопротокольные клиенты пользовались большим спросом, он остается популярным выбором среди тех, кто хочет объединить свои аккаунты обмена сообщениями в одном приложении, и имеет свою базу пользователей, состоящую из технически подкованных людей, энтузиастов открытого кода и пользователей, которым необходимо подключиться к старым IM-системам.

В Pidgin действует система плагинов, позволяющая пользователям расширять функциональность программы, включать нишевые функции и открывать новые возможности настройки.

Пользователи могут загрузить их из официального списка сторонних плагинов проекта, в котором на данный момент находится 211 аддонов.

Согласно сообщению на сайте проекта, опубликованному на прошлой неделе, вредоносный плагин под названием «ss-otr» попал в список 6 июля 2024 года и был удален только 16 августа после сообщения пользователя о том, что он является кейлоггером и инструментом для захвата скриншотов.

«Плагин ss-otr был добавлен в список сторонних плагинов 6 июля. 16 августа мы получили сообщение от 0xFFFC0000 о том, что плагин содержит кейлоггер и передает снимки экрана нежелательным лицам.

Мы незамедлительно удалили плагин из списка и начали расследование. 22 августа Джонни Хмас смог подтвердить наличие кейлоггера». - Pidgin

Красным флажком стало то, что ss-otr предоставил для загрузки только двоичные файлы, а не исходный код, но из-за отсутствия надежных механизмов проверки в репозитории сторонних плагинов Pidgin никто не усомнился в его безопасности.

Плагин ведет к вредоносному ПО DarkGate

По данным ESET, установщик плагина подписан действительным цифровым сертификатом, выданным INTERREX - SP. Z O.O., легитимной польской компании.

Плагин предлагает рекламируемую функциональность обмена экранами, но при этом содержит вредоносный код, позволяющий загружать дополнительные двоичные файлы с сервера злоумышленника по адресу jabberplugins[.]net.

Загружаемая полезная нагрузка представляет собой либо скрипты PowerShell, либо вредоносную программу DarkGate, которая также подписана сертификатом Interrex.

Аналогичный механизм реализован и для Linux-версии клиента Pidgin, так что обе платформы защищены.

По данным ESET, на том же вредоносном сервере, который уже удален, находились дополнительные плагины под названиями OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload.

Эти плагины почти наверняка также поставлял DarkGate, что говорит о том, что ScreenShareOTR был лишь небольшой частью более масштабной кампании.

Pidgin не предоставил статистику загрузок для ss-otr, поэтому количество жертв неизвестно.

Тем, кто его установил, рекомендуется немедленно удалить его и провести полное сканирование системы антивирусным инструментом, так как в системе может скрываться DarkGate.

Чтобы предотвратить подобные инциденты в будущем, Pidgin объявил, что отныне он будет принимать только те сторонние плагины, которые имеют лицензию OSI Approved Open Source License, позволяющую тщательно изучить их код и внутреннюю функциональность.