Из официального репозитория плагинов Pidgin удалили плагин ScreenShareOTR. Дело в том, что он использовался для установки кейлоггеров, инфостилеров и других вредоносных программ, которые обычно применяются для получения первоначального доступа к корпоративным сетям.
Плагин рекламировался как решение для совместного использования экрана с помощью защищенного протокола Off-The-Record (OTR) и был доступен для версий Pidgin для Windows и Linux.
По данным аналитиков компании ESET, вредоносный плагин заражал системы ничего не подозревающих пользователей малварью DarkGate, которую злоумышленники применяют для взлома сетей с тех пор, как инфраструктура QBot была ликвидирована властями.
Исследователи объясняют, что у Pidgin существует система плагинов, позволяющая расширять функциональность программы, включать дополнительные функции и использовать расширенные настройки. Пользователи могут загружать плагины, используя официальный список сторонних решений, который в настоящее время насчитывает более 200 аддонов.
Согласно заявлению, опубликованному теперь на сайте проекта, вредоносный плагин ss-otr попал в упомянутый список 6 июля 2024 года и был удален оттуда только 16 августа, после сообщений о том, что он содержит кейлоггер и инструмент для захвата скриншотов.
«Плагин ss-otr был добавлен в список 6 июля. 16 августа мы получили сообщение от [пользователя] 0xFFFC0000 о том, что плагин содержит кейлоггер и передает снимки экрана посторонним лицам. Мы немедленно удалили плагин из списка и начали расследование. 22 августа [ИБ-специалист] Johnny Xmas помог подтвердить наличие кейлоггера», — пишут разработчики.
Хотя автор ss-otr предоставил для загрузки только бинарники, а не исходный код, из-за отсутствия механизмов проверки в Pidgin никто не усомнился в его надежности.
По данным ESET, установщик плагина был подписан действительным цифровым сертификатом реальной польской компании INTERREX — SP.Z O.O и содержал вредоносный код, позволяющий загружать дополнительные бинарники с сервера злоумышленников (jabberplugins[.]net).
Полезная нагрузка представляла собой либо PowerShell-скрипты, либо упомянутую малварь DarkGate, которая также была подписана сертификатом Interrex.
По данным исследователей, на том же вредоносном сервере, который сейчас уже удален, размещались и другие плагины: OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload. Специалисты уверены, что они почти наверняка тоже распространяли DarkGate, и ScreenShareOTR был лишь небольшой частью более масштабной кампании.
Сайт злоумышленников
Всем, кто установил это плагин, рекомендуется немедленно удалить его и провести полное сканирование системы антивирусным инструментом, поскольку в система может быть заражена DarkGate.
Так как Pidgin не отслеживает, сколько раз был установлен тот или иной плагин, точное количество пострадавших неизвестно.