Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Plugin Pidgin malveillant

Plugin Pidgin malveillant

Par Mezo en Logiciels malveillants
Se traduisent par :
Français

Le paysage numérique est en constante évolution, les applications de messagerie instantanée devenant partie intégrante des communications personnelles et professionnelles. Cependant, ces plateformes sont également devenues des cibles de choix pour les acteurs malveillants. De récents incidents de cybersécurité ont mis en évidence les dangers qui se cachent dans les applications de messagerie largement utilisées, avec des campagnes de malware sophistiquées ciblant des utilisateurs peu méfiants. Cet article explore la montée de ces menaces, en se concentrant sur deux cas significatifs : le plugin menaçant Pidgin et un fork compromis de l'application Signal.

L’infiltration du plugin Pidgin

Le 22 août 2024, Pidgin, une application de messagerie open source populaire, a révélé qu'un plugin corrompu nommé ScreenShare-OTR (ss-otr) avait infiltré sa liste officielle de plugins tiers. Le plugin, qui était commercialisé comme un outil de partage d'écran via le protocole de messagerie Off-the-Record (OTR), contenait du code malveillant. Au départ, il est passé inaperçu en raison de l'absence de code source et de la disponibilité uniquement de fichiers binaires en téléchargement, un oubli critique qui a permis à la menace de se propager sans être détectée.

Des capacités menaçantes dévoilées

Une analyse approfondie menée par des chercheurs en cybersécurité a permis de découvrir la véritable nature du plugin ScreenShare-OTR. L'enquête a révélé que le plugin a été conçu pour effectuer plusieurs activités malveillantes :

  • Keylogging : Le plugin peut enregistrer les frappes au clavier, capturant des informations sensibles telles que les mots de passe et les messages privés.
  • Partage de captures d'écran : le plugin a pris des captures d'écran et les a envoyées à ses opérateurs, exposant potentiellement des informations confidentielles.
  • Téléchargement et exécution de binaires frauduleux : le plugin est connecté à un serveur contrôlé par des criminels pour télécharger et exécuter d'autres charges utiles dangereuses, notamment un script PowerShell et le célèbre malware DarkGate .

L'installateur du plugin a été signé avec un certificat légitime délivré par une société polonaise, ce qui lui confère une apparence d'authenticité qui a probablement permis de contourner les mesures de sécurité. Les versions Windows et Linux du plugin ont toutes deux présenté un comportement malveillant similaire, démontrant la menace multiplateforme posée par cette attaque.

Les implications plus larges

Une enquête plus approfondie a révélé que le site hébergeant les charges utiles non sécurisées se faisait passer pour un référentiel de plugins légitime. Il proposait également d'autres plugins populaires comme OMEMO, Pidgin Paranoia et Window Merge, qui auraient pu être compromis. De plus, la même porte dérobée trouvée dans le plugin ScreenShare-OTR a été découverte dans Cradle, une application qui se présentait comme un « logiciel de messagerie anti-forensique ».

Berceau : une fourche de signal supposée

Cradle présente un risque plus insidieux en raison de son association avec Signal, l'une des applications de messagerie sécurisée les plus fiables. Bien que Cradle soit un fork open source de Signal, il n'est ni sponsorisé ni affilié à la Fondation Signal. Malgré cela, il a réussi à convaincre les utilisateurs de sa légitimité, en partie parce que son code source forké était partiellement disponible sur GitHub.

Cependant, une inspection plus approfondie a révélé que Cradle avait été conçu à l'aide d'un code différent de celui disponible publiquement. L'application était intégrée au même code malveillant que le plugin ScreenShare-OTR, capable de télécharger des scripts qui déployaient le malware DarkGate. La présence de ce malware dans les versions Windows et Linux de Cradle a encore souligné les risques multiplateformes posés par ces attaques.

DarkGate : une menace persistante et évolutive

DarkGate n'est pas un nouvel acteur dans l'écosystème des malwares. Documenté pour la première fois en 2018, il a évolué vers une plateforme sophistiquée de Malware-as-a-Service (MaaS). DarkGate offre un large éventail de fonctionnalités, notamment :

  • Informatique en réseau virtuel caché (hVNC)
  • Exécution de code à distance
  • Cryptominage
  • Accès Shell inversé

Le malware fonctionne selon un modèle de distribution étroitement contrôlé, accessible uniquement à un groupe restreint de clients. Après une période de relative inactivité, DarkGate a refait surface en septembre 2023 après la perturbation et le démantèlement de l'infrastructure Qakbot . Cette résurgence a coïncidé avec plusieurs campagnes de malwares de grande envergure, indiquant que DarkGate était devenu un outil privilégié des cybercriminels.

Le malware DarkGate : vecteurs d’infection et impact mondial

La résurgence de DarkGate a été marquée par sa large diffusion à travers divers vecteurs. Depuis août 2023, les chercheurs en cybersécurité ont observé de nombreuses campagnes utilisant différentes méthodes pour infecter les victimes avec DarkGate :

  • Discussions d'équipe : les victimes ont été amenées à télécharger le programme d'installation de DarkGate via des liens envoyés via Microsoft Teams.
  • Pièces jointes aux e-mails : des e-mails contenant des archives cabinet (.cab) ont été utilisés pour inciter les victimes à télécharger et à exécuter du contenu dangereux.
  • Chargement latéral de DLL : des programmes légitimes ont été exploités pour charger DarkGate via des bibliothèques de liens dynamiques (DLL).
  • PDF corrompus : des pièces jointes PDF avec des liens vers des archives ZIP contenant des fichiers de raccourci Windows (.lnk) ont été utilisées pour déployer DarkGate.
  • Fichiers d'archive Java (.jar) : des hôtes vulnérables ont été infectés via des fichiers d'archive Java.
  • Fichiers HTML : les utilisateurs ont été trompés en copiant et collant des scripts malveillants à partir de fichiers HTML dans la barre d'exécution de Windows.
  • Publicités frauduleuses : des campagnes publicitaires ont diffusé le malware DarkGate auprès d'utilisateurs sans méfiance.
  • Partages de fichiers Samba ouverts : les serveurs exécutant des partages de fichiers Samba ouverts ont été utilisés pour héberger des fichiers pour les infections DarkGate.

Portée et impact mondiaux

Ces campagnes ne se limitent pas à une région spécifique. Des infections par DarkGate ont été signalées en Amérique du Nord, en Europe et dans une grande partie de l'Asie. La capacité du malware à s'adapter à différents mécanismes de diffusion et ses techniques d'évasion avancées en ont fait un adversaire redoutable pour les professionnels de la cybersécurité du monde entier.

En janvier 2024, DarkGate a publié sa sixième version majeure, l'échantillon non découvert étant identifié comme la version 6.1.6. Ce développement et ce perfectionnement continus soulignent la persistance de la menace et l'importance de la vigilance pour détecter et atténuer de telles attaques.

Conclusion : renforcer les défenses contre les menaces en constante évolution

Les récentes campagnes de malwares ciblant les utilisateurs de Pidgin et Cradle mettent en évidence l’évolution des tactiques employées par les cybercriminels. L’utilisation d’applications et de plugins apparemment légitimes comme vecteurs de diffusion de malwares sophistiqués comme DarkGate souligne la nécessité de mesures de cybersécurité robustes. Les utilisateurs doivent faire preuve de prudence lorsqu’ils téléchargent des plugins ou des applications tiers, même à partir de sources apparemment fiables. Parallèlement, les développeurs et les professionnels de la sécurité doivent travailler ensemble pour renforcer la sécurité des écosystèmes logiciels, en veillant à ce que ces menaces soient identifiées et neutralisées avant qu’elles ne causent des dommages généralisés.

À l’ère des outils de communication numérique omniprésents, les enjeux n’ont jamais été aussi élevés. Les acteurs malveillants continuent d’innover, et nos défenses doivent donc faire de même. La lutte contre les malwares comme DarkGate est en cours, mais grâce à une sensibilisation et à des habitudes proactives de plus en plus grandes, nous pouvons garder une longueur d’avance sur les attaquants.

Tendance

Le plus regardé

Chargement...