利用 Pidgin 的插件传播 DarkGate 恶意软件

关键要点

• 恶意 actores 利用 Pidgin 的 ScreenShareOTR 插件进行 DarkGate 恶意软件的传播。
• 攻击涉及有问题的 'ss-otr' 插件安装程序，该程序可从控制服务器获取签名的恶意有效载荷。
• Pidgin 已经删除了受影响的插件，并展开调查。

最近有报道称，恶意攻击者通过 Pidgin 消息应用的 ScreenShareOTR 插件（适用于 Windows 和 Linux）来传播 ， 的分析指出。

根据 ESET 的分析，攻击者使用了恶意的 'ss-otr' 插件安装程序，该程序带有波兰公司 Interrex 的签名，并从一个控制服务器获取 Interrex 证书签名的 DarkGate 有效载荷或 PowerShell 脚本。这个控制服务器已经被拆除，之前还被用来托管与 DarkGate恶意软件部署相关的插件，如 Pidgin Paranoia、Window Merge、HTTP 文件上传、OMEMO 和 Master Password。

Pidgin 方面已经在收到报告后，迅速将问题插件从列表中移除。该报告指出插件具备键盘记录和屏幕截图捕获功能。Pidgin 表示：“在 8 月 16日，我们接到来自 0xFFFC0000 的报告，指插件包含键盘记录器并将截图与不当方共享。我们立即悄悄将插件从列表中撤回并开始调查。到 8 月 22日，Johnny Xmas 确认该插件确实存在键盘记录器。”

总结: 这一事件突出显示了消息应用插件的安全隐患以及即时反应的重要性。用户在使用第三方应用程序时，请保持警惕，并确保使用的插件来自可信的来源。