L’application de messagerie Pidgin a supprimé le plugin ScreenShareOTR de sa liste officielle de plugins tiers après avoir découvert qu’il était utilisé pour installer des enregistreurs de frappe, des voleurs d’informations et des logiciels malveillants couramment utilisés pour obtenir un accès initial aux réseaux d’entreprise.
Le plugin a été promu comme un outil de partage d’écran pour le protocole sécurisé Off-The-Record (OTR) et était disponible pour les versions Windows et Linux de Pidgin.
Selon ESET, le plugin malveillant a été configuré pour infecter des utilisateurs sans méfiance avec le malware DarkGate, un puissant malware que les acteurs de la menace utilisent pour pénétrer les réseaux depuis le démantèlement de QBot par les autorités.
Plugin Pidgin sournois
Pidgin est un client de messagerie instantanée open source et multiplateforme qui prend en charge plusieurs réseaux et protocoles de messagerie.
Bien qu’il ne soit pas aussi populaire qu’au milieu des années 2000, lorsque les clients multiprotocoles étaient très demandés, il reste un choix populaire parmi ceux qui cherchent à consolider leurs comptes de messagerie dans une seule application et dispose d’une base d’utilisateurs dédiée composée d’individus férus de technologie, de passionnés d’open source et d’utilisateurs qui ont besoin de se connecter à des systèmes de messagerie instantanée hérités.
Pidgin exploite un système de plugins qui permet aux utilisateurs d’étendre les fonctionnalités du programme, d’activer des fonctionnalités de niche et de débloquer de nouvelles options de personnalisation.
Les utilisateurs peuvent les télécharger à partir du site officiel du projet. liste des plugins tiershébergeant actuellement 211 modules complémentaires.
Selon une annonce sur le site Web du projet la semaine dernière, un plugin malveillant nommé « ss-otr » s’était glissé dans la liste le 6 juillet 2024 et n’a été retiré que le 16 août suite à un rapport d’un utilisateur indiquant qu’il s’agissait d’un keylogger et d’un outil de capture d’écran.
“Un plugin, ss-otr, a été ajouté à la liste des plugins tiers le 6 juillet. Le 16 août, nous avons reçu un rapport de 0xFFFC0000 indiquant que le plugin contenait un enregistreur de frappe et partageait des captures d’écran avec des parties indésirables.
Nous avons immédiatement retiré discrètement le plugin de la liste et commencé à enquêter. Le 22 août, Johnny Xmas a pu confirmer qu’un enregistreur de frappe était présent. » – Pidgin
Un signal d’alarme est que ss-otr ne fournit que des binaires à télécharger et aucun code source, mais en raison du manque de mécanismes de révision robustes dans le référentiel de plugins tiers de Pidgin, personne n’a remis en question sa sécurité.
Un plugin mène au malware DarkGate
ESET rapports l’installateur du plugin est signé avec un certificat numérique valide délivré à INTERREX – SP. ZOOune entreprise polonaise légitime.
Exécutable signé
Source : ESET
Le plugin offre la fonctionnalité annoncée de partage d’écran, mais contient également du code malveillant, lui permettant de télécharger des binaires supplémentaires à partir du serveur de l’attaquant sur jabberplugins[.]filet.
Les charges utiles téléchargées sont soit des scripts PowerShell, soit le malware DarkGate, qui est également signé par un certificat Interrex.
Un mécanisme similaire est implémenté pour la version Linux du client Pidgin, de sorte que les deux plates-formes sont couvertes.
ESET affirme que le même serveur malveillant, qui a été fermé, hébergeait des plugins supplémentaires nommés OMEMO, Pidgin Paranoia, Master Password, Window Merge et HTTP File Upload.
Ces plugins diffusaient presque certainement également DarkGate, ce qui indique que ScreenShareOTR n’était qu’une petite partie d’une campagne à plus grande échelle.
Site Web de l’acteur de la menace
Source : ESET
Pidgin n’a pas fourni de statistiques de téléchargement pour ss-otr, donc le nombre de victimes est inconnu.
Il est recommandé à ceux qui l’ont installé de le supprimer immédiatement et d’effectuer une analyse complète du système avec un outil antivirus, car DarkGate peut se cacher sur leur système.
Pour éviter que des incidents similaires ne se reproduisent à l’avenir, Pidgin a annoncé qu’à partir de maintenant, il n’acceptera que les plugins tiers disposant d’une licence Open Source approuvée par l’OSI, permettant un examen minutieux de leur code et de leurs fonctionnalités internes.
2024-08-27 20:25:55
1724780466
#logiciel #malveillant #sinfiltre #dans #référentiel #plugins #officiel #Pidgin #Messenger
