Vor über einem Monat gab es ein gefährliches Plug-in für den Messenger Pidgin. Es war mit Malware versehen und konnte von Nutzern heruntergeladen werden. Sofortige Deinstallation wird nun von den Entwicklern empfohlen.
Pidgin – Ein Klassiker der Messenger-Welt
Pidgin war besonders zur Jahrtausendwende sehr gefragt. Der Messenger unterstützte Protokolle wie Bonjour, IRC & Jabber/XMPP. Diese Vielfalt machte ihn attraktiv für viele Nutzer.
Gefährliches Plug-in im Umlauf
In einer offiziellen Mitteilung wird das Plug-in als Screen-Capturing-Tool ss-otr identifiziert. Unbekannte Angreifer verwendeten dieses als Keylogger. Es kam zu einer Abgreifung von Screenshots, darunter ebenfalls Log-in-Daten.
Verlauf der Enthüllungen
Am 6. Juli 2024 kam das Plug-in zu den Drittanbieter-Plug-ins. Am 16. August wurde es dann als schädlich enttarnt. Seither ist es offline und damit nicht weiterhin verfügbar.
Unzureichende Sicherheitsmaßnahmen
Eine erste Untersuchung ergab: Der Uploader hatte keinen Source Code bereitgestellt. Nur Binaries wurden hochgeladen. Künftig sollen Plug-ins eine offene Lizenz aufweisen die von der Open Source Initiative genehmigt wurde.
Was Nutzer unternehmen sollten
Nutzer die das Plug-in installiert haben, müssen es schnellstmöglich entfernen. Zudem sollte der PC auf Viren gescannt werden. Obwohl ein Virenscan wichtig ist stellt dies keinen vollständigen Schutz dar. Einige Malware könnte sich tief im System verankern. Eine Neuinstallation des Betriebssystems könnte die einzig flächendeckende Lösung sein.
Versorgungslücke bei Pidgin
Aufgrund der Tatsache. Dass Pidgin keine Downloads von Plug-ins zählt ist unklar, ebenso wie viele Nutzer tatsächlich betroffen sind.
Verdacht auf Verbindungen zur Darkgate-Malware
Sicherheitsforscher von Eset stellen Bezüge zur Darkgate-Malware her. Weitere Plug-ins—darunter HTTP File Upload und Pidgin Paranoia—waren ähnlich wie auf dem nun deaktivierten Server erhältlich. Die Forscher befürchten auch diese könnten gefährlich sein.
Kommentare