L’application de messagerie Pidgin a supprimé le plugin ScreenShareOTR de sa liste officielle de plugins tiers après avoir découvert qu’il était utilisé pour installer des enregistreurs de frappe, des voleurs d’informations et des logiciels malveillants couramment utilisés pour accéder initialement aux réseaux d’entreprise.
Le plugin a été promu comme un outil de partage d’écran pour le protocole OTR (secure Off-The-Record) et était disponible pour les versions Windows et Linux de Pidgin.
Selon ESET, le plugin malveillant a été configuré pour infecter les utilisateurs sans méfiance avec le malware DarkGate, un puissant malware que les acteurs utilisent pour violer les réseaux depuis le démantèlement de QBot par les autorités.
Plugin Pidgin sournois
Pidgin est un client de messagerie instantanée multiplateforme open source qui prend en charge plusieurs réseaux et protocoles de messagerie.
Bien qu’il ne soit pas aussi populaire qu’au milieu des années 2000, lorsque les clients multiprotocoles étaient très demandés, il reste un choix populaire parmi ceux qui cherchent à consolider leurs comptes de messagerie en une seule application et dispose d’une base d’utilisateurs dédiée de personnes férues de technologie, de passionnés d’open-source et d’utilisateurs qui ont besoin de se connecter à des systèmes de messagerie instantanée hérités.
Pidgin exploite un système de plug-ins qui permet aux utilisateurs d’étendre les fonctionnalités du programme, d’activer des fonctionnalités de niche et de débloquer de nouvelles options de personnalisation.
Les utilisateurs peuvent les télécharger à partir de la liste officielle des plugins tiers du projet, hébergeant actuellement 211 addons.
Selon une annonce sur le site Web du projet la semaine dernière, un plugin malveillant nommé « ss-otr » s’était glissé dans la liste le 6 juillet 2024 et n’a été retiré que le 16 août à la suite d’un rapport d’utilisateur selon lequel il s’agissait d’un enregistreur de frappe et d’un outil de capture d’écran.
« Un plugin, ss-otr, a été ajouté à la liste des plugins tiers le 6 juillet. Le 16 août, nous avons reçu un rapport de 0xFFFC0000 indiquant que le plugin contenait un enregistreur de frappe et partageait des captures d’écran avec des parties indésirables.
Nous avons discrètement retiré le plugin de la liste immédiatement et avons commencé à enquêter. Le 22 août, Johnny Xmas a pu confirmer qu’un enregistreur de frappe était présent. »- Pidgin
Un drapeau rouge est que ss-otr ne fournissait que des binaires à télécharger et non du code source, mais en raison du manque de mécanismes de révision robustes dans le référentiel de plugins tiers de Pidgin, personne n’a remis en question sa sécurité.
Un plugin mène au malware DarkGate
ESET signale que le programme d’installation du plug – in est signé avec un certificat numérique valide délivré à INTERREX-SP. Z O. O., une entreprise polonaise légitime.
Le plugin offre la fonctionnalité annoncée de partage d’écran mais contient également du code malveillant, lui permettant de télécharger des binaires supplémentaires à partir du serveur de l’attaquant à jabberplugins[.] filet.
Les charges utiles téléchargées sont soit des scripts PowerShell, soit le malware DarkGate, qui est également signé par un certificat Interrex.
Un mécanisme similaire est implémenté pour la version Linux du client Pidgin, de sorte que les deux plates-formes sont couvertes.
ESET dit que le même serveur malveillant, qui a été arrêté maintenant, hébergeait des plugins supplémentaires nommés OMEMO, Pidgin Paranoia, Master Password, Window Merge et HTTP File Upload.
Ces plugins fournissaient presque certainement aussi DarkGate, indiquant que ScreenShareOTR n’était qu’une petite partie d’une campagne à plus grande échelle.
Pidgin n’a pas fourni de statistiques de téléchargement pour ss-otr, donc le nombre de victimes est inconnu.
Il est recommandé à ceux qui l’ont installé de le supprimer immédiatement et d’effectuer une analyse complète du système avec un outil antivirus, car DarkGate peut se cacher sur leur système.
Pour éviter que des incidents similaires ne se reproduisent à l’avenir, Pidgin a annoncé qu’à partir de maintenant, il n’acceptera que les plugins tiers disposant d’une licence Open Source approuvée par OSI, permettant un examen minutieux de leur code et de leurs fonctionnalités internes.