L’app di messaggistica Pidgin ha rimosso il plugin ScreenShareOTR dal suo elenco ufficiale di plugin di terze parti. Tale plugin veniva infatti utilizzato per installare keylogger, information stealer e malware comunemente utilizzati per ottenere l’accesso iniziale alle reti aziendali. Il plugin è stato promosso come strumento di condivisione dello schermo per il protocollo sicuro Off-The-Record (OTR) ed era disponibile sia per le versioni Windows che Linux di Pidgin. Secondo ESET, il plugin dannoso era configurato per infettare utenti ignari con il malware DarkGate. Si tratta di una potente minaccia che gli hacker usano per violare le reti dopo lo smantellamento di QBot da parte delle autorità.
Pidgin è un client di messaggistica istantanea multipiattaforma open source che supporta più reti e protocolli di messaggistica. L’app offre diversi plugin che consentono agli utenti di estendere le funzionalità del programma, abilitare funzionalità di nicchia e sbloccare nuove opzioni di personalizzazione. Gli utenti possono scaricarli dall’elenco ufficiale dei plugin di terze parti del progetto, che attualmente ospita 211 componenti aggiuntivi. Secondo un annuncio sul sito web del progetto la scorsa settimana, un plugin dannoso denominato “ss-otr” era entrato nell’elenco il 6 luglio 2024 ed è stato rimosso solo il 16 agosto scorso. Ciò in seguito a una segnalazione di un utente secondo cui si trattava di uno strumento di keylogger e screenshot.
Un campanello d’allarme è stato il fatto che ss-otr forniva solo file binari da scaricare e nessun codice sorgente. Tuttavia, a causa della mancanza di solidi meccanismi di revisione nel repository di plugin di terze parti di Pidgin, nessuno ne ha messo in dubbio la sicurezza.
Pidgin: malware DarkGate incluso in diversi plugin
ESET segnala che il programma di installazione del plugin è firmato con un certificato digitale valido rilasciato all’azienda polacca INTERREX – SP. Z O.O. Come accennato, il plugin offre la funzionalità di condivisione dello schermo, ma contiene anche codice dannoso, che gli consente di scaricare file binari aggiuntivi dal server dell’attaccante su jabberplugins[.]net. I payload scaricati sono script PowerShell o il malware DarkGate, anch’esso firmato da un certificato Interrex. Oltre a Linux, un meccanismo simile è implementato per la versione Windows del client Pidgin, quindi entrambe le piattaforme sono state colpite. I ricercatori di ESET hanno affermato che lo stesso server dannoso (ora è stato rimosso) ospitava plugin aggiuntivi denominati OMEMO, Pidgin Paranoia, Master Password, Window Merge e HTTP File Upload. Questi plugin stavano quasi certamente distribuendo anche DarkGate. Ciò indica che ScreenShareOTR era solo una piccola parte di una campagna su larga scala.
Agli utenti che hanno installato tale plugin è consigliato di rimuoverlo immediatamente ed eseguire una scansione completa del sistema con un antivirus. Per evitare che incidenti simili si verifichino in futuro, Pidgin ha annunciato che, da ora in poi, accetterà solo plugin di terze parti che hanno una licenza Open Source approvata OSI. Ciò consentirà la verifica del loro codice e delle funzionalità interne.