Incidentes recentes revelaram que um Malware se infiltrou no repositório oficial de plugins do Pidgin Messenger.
O Pidgin é um cliente de mensagens instantâneas de código aberto e multiplataforma que oferece suporte a várias redes e protocolos de mensagens.
Embora não seja tão popular quanto em meados dos anos 2000, quando clientes multiprotocolo estavam em alta demanda, ele continua sendo uma escolha popular entre aqueles que buscam consolidar suas contas de mensagens em um único aplicativo e tem uma base de usuários dedicada de indivíduos experientes em tecnologia, entusiastas de código aberto e usuários que precisam se conectar a sistemas de mensagens instantâneas legados.
O Pidgin opera um sistema de plug-ins que permite aos usuários estender a funcionalidade do programa, habilitar recursos de nicho e desbloquear novas opções de personalização.
Os usuários podem baixá-los da lista oficial de plug-ins de terceiros do projeto, que atualmente hospeda 211 complementos.
Agora, o aplicativo de mensagens Pidgin removeu o plugin ScreenShareOTR de sua lista oficial de plugins de terceiros após descobrir que ele era usado para instalar keyloggers, ladrões de informações e malware comumente usados para obter acesso inicial a redes corporativas.
Malware se infiltrou no repositório oficial de plugins do Pidgin
O plugin foi promovido como uma ferramenta de compartilhamento de tela para o protocolo seguro Off-The-Record (OTR) e estava disponível para as versões Windows e Linux do Pidgin.
De acordo com a ESET, o plugin malicioso foi configurado para infectar usuários desavisados com malware DarkGate, uma poderosa ameaça de malware que os agentes usam para violar redes desde o desmantelamento do QBot pelas autoridades.
De acordo com um anúncio no site do projeto na semana passada, um plug-in malicioso chamado ‘ss-otr’ entrou na lista em 6 de julho de 2024 e só foi retirado em 16 de agosto após um relatório de usuário sobre ser um keylogger e uma ferramenta de captura de tela.
“Um plugin, ss-otr, foi adicionado à lista de plugins de terceiros em 6 de julho. Em 16 de agosto, recebemos um relatório de 0xFFFC0000 de que o plugin continha um keylogger e compartilhava capturas de tela com partes indesejadas.
Nós silenciosamente retiramos o plugin da lista imediatamente e começamos a investigar. Em 22 de agosto, Johnny Xmas conseguiu confirmar que um keylogger estava presente.” – Pidgin
Um sinal de alerta é que o ss-otr forneceu apenas binários para download e nenhum código-fonte, mas devido à falta de mecanismos de revisão robustos no repositório de plugins de terceiros do Pidgin, ninguém questionou sua segurança.
Plugin leva ao malware DarkGate
A ESET relata que o instalador do plugin é assinado com um certificado digital válido emitido para INTERREX – SP. Z O.O., uma empresa polonesa legítima.
O plugin oferece a funcionalidade anunciada de compartilhamento de tela, mas também contém código malicioso, permitindo que ele baixe binários adicionais do servidor do invasor em jabberplugins[.]net.
Os payloads baixados são scripts do PowerShell ou o malware DarkGate, que também é assinado por um certificado Interrex.
Um mecanismo semelhante é implementado para a versão Linux do cliente Pidgin, então ambas as plataformas são cobertas.
A ESET diz que o mesmo servidor malicioso, que foi desativado agora, hospedava plugins adicionais chamados OMEMO, Pidgin Paranoia, Master Password, Window Merge e HTTP File Upload.
Esses plugins quase certamente também estavam entregando DarkGate, indicando que o ScreenShareOTR era apenas uma pequena parte de uma campanha em larga escala.
O Pidgin não forneceu estatísticas de download para ss-otr, então o número de vítimas é desconhecido.
Aqueles que o instalaram são recomendados a removê-lo imediatamente e executar uma varredura completa do sistema com uma ferramenta antivírus, pois o DarkGate pode estar à espreita em seu sistema.
Para evitar que incidentes semelhantes aconteçam no futuro, o Pidgin anunciou que, a partir de agora, aceitará apenas plugins de terceiros que tenham uma Licença de Código Aberto Aprovada pela OSI, permitindo o escrutínio em seu código e funcionalidade interna.