Pidgin mesajlaşma uygulaması, ScreenShareOTR eklentisinin, kurumsal ağlara ilk erişimi elde etmek için yaygın olarak kullanılan tuş kaydediciler, bilgi hırsızları ve kötü amaçlı yazılımları yüklemek için kullanıldığı keşfedildikten sonra, eklentiyi resmi üçüncü taraf eklenti listesinden kaldırdı.
Eklenti, güvenli Off-The-Record (OTR) protokolü için bir ekran paylaşım aracı olarak tanıtıldı ve Pidgin’in hem Windows hem de Linux sürümleri için mevcuttu.
ESET’e göre kötü amaçlı eklenti, yetkililer tarafından QBot’un kaldırılmasından bu yana ağlara sızmak için kullanılan güçlü bir kötü amaçlı yazılım tehdit grubu olan DarkGate ile şüphelenmeyen kullanıcıları enfekte edecek şekilde yapılandırılmıştı.
Gizli Pidgin eklentisi
Pidgin, birden fazla ağı ve mesajlaşma protokolünü destekleyen, açık kaynaklı, çok platformlu bir anlık mesajlaşma istemcisidir.
Çoklu protokollü istemcilere olan talebin yüksek olduğu 2000’li yılların ortalarındaki kadar popüler olmasa da, mesajlaşma hesaplarını tek bir uygulamada birleştirmek isteyenler arasında popüler bir seçenek olmaya devam ediyor ve teknoloji meraklısı kişiler, açık kaynak meraklıları ve eski mesajlaşma sistemlerine bağlanması gereken kullanıcılardan oluşan özel bir kullanıcı tabanına sahip.
Pidgin, kullanıcıların programın işlevselliğini genişletmesine, belirli özelliklere olanak sağlamasına ve yeni özelleştirme seçeneklerinin kilidini açmasına olanak tanıyan bir eklenti sistemi işletmektedir.
Kullanıcılar bunları projenin resmi üçüncü taraf eklentiler listesinden indirebilirler; şu anda 211 eklenti barındırılıyor.
Geçtiğimiz hafta projenin internet sitesinde yapılan duyuruya göre, ‘ss-otr’ adlı kötü amaçlı bir eklenti 6 Temmuz 2024’te listeye girmiş ve bir kullanıcı raporunun bunun bir keylogger ve ekran görüntüsü yakalama aracı olduğunu söylemesinin ardından 16 Ağustos’ta kaldırılmıştı.
Eklentiyi hemen listeden sessizce çektik ve araştırmaya başladık. 22 Ağustos’ta Johnny Xmas bir keylogger’ın mevcut olduğunu doğrulayabildi.” – Pidgin
Kırmızı bayraklardan biri, ss-otr’nin yalnızca indirilebilir ikili dosyalar sunması ve herhangi bir kaynak kodu sunmamasıdır; ancak Pidgin’in üçüncü taraf eklenti deposunda sağlam inceleme mekanizmalarının bulunmaması nedeniyle kimse güvenliğini sorgulamamıştır.
Eklenti DarkGate kötü amaçlı yazılımına yol açıyor
ESET, eklenti yükleyicisinin, kendisine verilen geçerli bir dijital sertifika ile imzalandığını bildiriyor INTERREX-SP. ZOOmeşru bir Polonya şirketidir.
Kaynak: ESET
Eklenti, reklamı yapılan ekran paylaşımı işlevini sunuyor ancak aynı zamanda saldırganın jabberplugins sunucusundan ek ikili dosyaları indirmesine olanak tanıyan kötü amaçlı kod da içeriyor[.]açık.
İndirilen yükler ya PowerShell betikleri ya da Interrex sertifikasıyla imzalanmış DarkGate kötü amaçlı yazılımıdır.
Benzer bir mekanizma Pidgin istemcisinin Linux sürümü için de uygulanmış olduğundan her iki platform da kapsanmıştır.
ESET, kapatılan aynı kötü amaçlı sunucunun OMEMO, Pidgin Paranoia, Master Password, Window Merge ve HTTP File Upload adlı ek eklentilere ev sahipliği yaptığını söylüyor.
Bu eklentilerin DarkGate’i de sağladığı neredeyse kesin; bu da ScreenShareOTR’nin daha geniş çaplı bir kampanyanın sadece küçük bir parçası olduğunu gösteriyor.
Kaynak: ESET
Pidgin, ss-otr için indirme istatistikleri sağlamadığından, kurban sayısı bilinmiyor.
DarkGate’i kuranların, sistemlerinde gizlenmiş olma ihtimali olduğundan, derhal onu kaldırmaları ve bir antivirüs aracıyla tam sistem taraması yapmaları önerilir.
Benzer olayların gelecekte yaşanmaması için Pidgin, bundan sonra yalnızca OSI Onaylı Açık Kaynak Lisansına sahip olan üçüncü taraf eklentileri kabul edeceğini ve bu sayede bunların kodları ve iç işlevlerinin incelenebileceğini duyurdu.