Multi-Plattform-Messenger: Pidgin-Plug-in hatte Keylogger im Gepäck
Die Entwickler von Pidgin warnen, dass das Plug-in ss-otr einen Trojaner mitgebracht hat. Mittlerweile ist es offline.
Mehr als einen Monat stand ein mit Malware verseuchtes Plug-in fĂĽr den Multi-Plattform-Messenger Pidgin zum Download zur VerfĂĽgung. Die Entwickler raten zu einer unmittelbaren Deinstallation des Plug-ins.
Pidgin war zur Jahrtausendwende ein viel genutzter Multi-Plattform-Messenger, der unter anderem Protokolle fĂĽr Bonjour, IRC und Jabber/XMPP mitbringt.
Tastatureingaben mitgeschnitten
In einem Beitrag geben sie an, dass es sich um das Screen-Capturing-Tool ss-otr handelt. Unbekannte Angreifer sollen es als Keylogger genutzt haben und darĂĽber Screenshots abgegriffen haben. In der Regel erbeuten Kriminelle so Log-in-Daten.
Die Pidgin-Entwickler führen aus, dass das Plug-in am 6. Juli 2024 zur Liste mit Drittanbieter-Plug-ins hinzugefügt wurde. Am 16. August wurde bekannt, dass es einen Keylogger enthält. Seitdem ist es offline.
GegenmaĂźnahmen
Eine Untersuchung zeigte, dass der Uploader keinen Source Code, sondern nur Binaries hochgeladen hat. KĂĽnftig wollen die Pidgin-Entwickler voraussetzen, dass Plug-ins eine Open Source Initiative Approved License aufweisen.
Wer das Plug-in installiert hat, sollte es zügig löschen und den PC auf Viren scannen. Das ist aber kein Allheilmittel, weil sich Malware oft tief im System verankert, sodass einzig eine Neuinstallation des Betriebssystems Abhilfe schafft. Weil Pidgin eigenen Angaben zufolge Plug-in-Downloads nicht zählt, bleibt unklar, wie viele Nutzer von der Problematik betroffen sind.
Sicherheitsforscher von Eset ziehen Verbindungen zur Darkgate-Malware. Auf dem mittlerweile von Netz genommenen Server standen ihnen zufolge noch weitere Plug-ins (HTTP File Upload, Master Password, OMEMO, Pidgin Paranoia und Window Merge) zum Download. Die Forscher vermuten, dass auch diese verseucht sein könnten.
(des)