Os atores de ameaças exploram o arquivo de índice de ajuda da Microsoft para implantar malware pipemagic

Os pesquisadores de segurança cibernética descobriram uma campanha sofisticada, onde os atores de ameaças aproveitam um arquivo de índice de ajuda da Microsoft (.MSHI) para implantar o backdoor Pipemagic, marcando uma evolução notável nos métodos de entrega de malware.

Esse desenvolvimento se vincula à exploração do CVE-2025-29824, uma elevação de vulnerabilidade de privilégios de dia zero dia no driver do Windows Common Log File System (CLFS), que a Microsoft corrigiu em 8 de abril de 2025.

A vulnerabilidade permitiu que os invasores escalassem privilégios de uma conta de usuário padrão, facilitando Implantação de ransomware por grupos como Storm-2460.

Táticas recentes de exploração

Pipemagic, identificado pela primeira vez em dezembro de 2022 durante campanhas Ransomexx direcionadas a empresas industriais no sudeste da Ásia, adaptou suas táticas.

Em 2024, ele se disfarçou de um aplicativo de chatgpt falso para infiltrar organizações na Arábia Saudita, usando carregadores baseados em ferrugem construídos com estruturas de tauri e tokio para descriptografar e executar cargas úteis criptografadas via shellcode.

Até 2025, as infecções se espalharam para o Brasil e a Arábia Saudita, com os atacantes que empregam o código C# ofuscados em arquivos .mshi para descriptografar o código de shell criptografado RC4 e injetar executáveis de 32 bits.

Esses carregadores resolvem dinamicamente as funções da API usando o hash FNV-1A, criando tubos nomeados como . Pipe 1. Para a comunicação criptografada, durante a interface com um terminal de rede local em 127.0.0.1:8082.

A Microsoft atribuiu atividade relacionada à exploração pós-conclusão, onde downloads pipemagic módulos de domínios do Azure comprometidos, levando a dumping de credenciais via ferramentas como o ProcDump disfarçado de dllHost.exe.

Análise técnica de carregadores

As variantes de 2025 introduzem diversos mecanismos de carregamento, incluindo seqüestro de DLL com arquivos legítimos como o GoogleUpdate.dll, onde a lógica maliciosa reside em DLLMain para descriptografar cargas úteis criptografadas no AES no modo CBC usando chaves e IVs específicos.

Uma vez implantado, o Pipemagic gera matrizes aleatórias de 16 bytes para nomes de tubos e suporta modos gráficos, apesar da falta de uma interface do usuário, permitindo persistência e movimento lateral.

Os módulos recém -descobertos aprimoram a funcionalidade: um plug -in de comunicação assíncrona usa portas de conclusão de E/S para lidar com operações de arquivos, como leitura, escrita e sinalização de erros por meio de uma lista duplamente vinculada de descritores, comandos de suporte para inicialização, rescisão e processamento de dados.

De acordo com Kaspersky relatórioum módulo de carregador injeta cargas úteis de 64 bits analisando recursos, realocando as importações através da comparação de nomes e invocando funções exportadas como o DLLRegisterService para troca de dados.

Um módulo injetor patches interfaces AMSI no amsi.dll para evitar a detecção, carregando cargas úteis .NET via mscoree.dll após verificar versões de tempo de execução como 4.0.30319 ou 2.0.50727.

A pós-exploração envolve o despejo de memória LSASS com o renomeado ProcDump para extrair credenciais, espelhando táticas nas explorações CVE-2025-29824 que criam arquivos CLFS BLF como C: ProgramData skypdf pdudrv.blf e injete processos de sistemas.

Os indicadores de ransomware incluem extensões aleatórias de arquivos, domínios .onion nas notas e comandos desativando a recuperação como as deleções BCDedit e Wbadmin.

A Microsoft recomenda a aplicação de patches, permitindo proteções entregues na nuvem no Defender e usando o EDR no modo de bloco para mitigar essas ameaças.

Indicadores de compromisso

AWS Security Services:10-Point Executive Checklist -Download for Free