Napadači koriste lažnu ChatGPT aplikaciju
Kompanija Kaspersky je prvobitno otkrila PipeMagic bekdor u malveru iz 2022. godine, tj. trojancu zasnovanom na plaginu koji targetira entitete u Aziji. Ovaj malver može da funkcioniše i kao bekdor i kao ulazna tačka za druge malvere. U septembru 2024. godine, GReAT tim kompanije Kaspersky je primetio povratak PipeMagic-a, ovog puta usmerenog na organizacije u Saudijskoj Arabiji, saopštila je kompanija Kaspersky.
Ova verzija je koristila lažnu ChatGPT aplikaciju, napravljenu pomoću programskog jezika Rust. Na prvi pogled deluje legitimno, sadrži nekoliko uobičajenih Rust biblioteka koje se koriste u mnogim drugim aplikacijama zasnovanim na tom programskom jeziku. Međutim, kada se aktivira, aplikacija prikazuje prazan ekran bez vidljivog interfejsa i sakriva niz od 105.615 bajta enkriptovanih podataka koji su zlonamerni.
U drugoj fazi, malver pretražuje ključne funkcije Windows API-ja tako što pretražuje odgovarajuća odstupanja memorije koristeći algoritam za heširanje imena. Zatim dodeljuje memoriju, učitava PipeMagic bekdor, prilagođava neophodna podešavanja i pokreće malver.
„Sajber kriminalci konstantno razvijaju svoje strategije kako bi došli do bogatijih žrtava i proširili svoje prisustvo, kao što pokazuje nedavna ekspanzija trojanca PipeMagic iz Azije u Saudijsku Arabiju. Imajući u vidu njegove mogućnosti, očekujemo povećanje napada koji koriste ovaj bekdor“, komentariše Sergej Ložkin, glavni istraživač bezbednosti u GreAT timu kompanije Kaspersky.
