O malware Pipemagic, que é creditado ao ator de ameaças motivadas financeiramente Storm-2460, é uma ilustração notável de como os perigos cibernéticos estão sempre mudando. Ele representa como o aplicativo de mesa ChatGPT de código aberto genuíno do GitHub.
Esse sofisticado backdoor modular facilita ataques direcionados, explorando a CVE-2025-29824, uma vulnerabilidade de elevação de privilégios no sistema de arquivos de log do Windows Common (CLFS).
Inteligência de ameaças da Microsoft identificado Pipemagic durante as investigações em cadeias de ataque, onde os adversários usaram o Certutil para baixar um arquivo msbuild malicioso de sites legítimos comprometidos, levando à execução da memória da backdoor.
Uma vez implantado, Pipemagic permite a escalada de privilégios e Implantação de ransomware Em setores, incluindo ele, finanças e imóveis em regiões como Estados Unidos, Europa, América do Sul e Oriente Médio.
Ativa a exploração de dias zero
A arquitetura do malware enfatiza a flexibilidade e a persistência, carregando dinamicamente as cargas úteis por meio de um módulo de rede dedicado para comunicação de comando e controle (C2) sobre o TCP, enquanto emprega comunicação entre processos criptografados por meio de tubos nomeados para evitar a detecção.
O Pipemagic inicializa com um identificador de bot aleatório de 16 bytes e gera um thread para criar um tubo denominado bidirecional formatado como ‘. Pipe 1.’, permitindo a entrega contínua da carga útil.
Os módulos de entrada são descriptografados usando uma chave RC4 de 32 bytes com codificação, validada por hash sha-1 e armazenada em uma estrutura de lista duplamente vinculada.
O malware mantém quatro dessas listas: uma para módulos de carga útil bruta no formato PE, outro para módulos executáveis carregados na memória, uma lista de rede para manuseio C2 e uma lista desconhecida possivelmente para estadiamento dinâmico da carga útil.
Os dados de configuração, incluindo um domínio C2 agora deficientes (aaaaabbbbbbb.eastus.cloudapp.azure.com:443), é analisado para gerenciar operações, com fallback no loopback local para teste.
O módulo de rede incorporado, decretado Xor e descomprimido via APLIB, estabelece conexões TCP, exportando funções para transmissão e terminação de dados, enquanto limita as tentativas a cinco por sessão.
Recursos avançados
Após a conexão C2, o PIPemagic coleta informações extensas do sistema, como ID da BOT, versão do SO, detalhes do processo, níveis de integridade e afiliações de domínio e o transmite por meio de solicitações HTTP GET com caminhos randomizados.
As respostas são processadas através de comandos externos que desencadeiam funcionalidades internas de backdoor, permitindo o gerenciamento de módulos, manipulação de dadosenumeração do processo e auto-delidação.
Por exemplo, o Código de Processamento 0x1 lida com operações principais, como inserção, leitura, escrita ou exclusão de módulos nas listas de carga útil e execução, com argumentos para índices, compensações, hashes e criptografia.
Comandos semelhantes interagem com a lista desconhecida para redimensionamento ou extração, sugerindo funções auxiliares na extensibilidade modular.
Os códigos de backdoor fornecem controle granular, desde a recuperação de metadados e renomeie os executáveis até a lembrança de dados do sistema ou a interface com os tubos nomeados para trocas de carga útil criptografada.
Para combater essa ameaça, as organizações devem permitir proteção de adulteração, proteção de rede e EDR no modo de bloco no Microsoft Defender for Endpoint, juntamente com a investigação automatizada e proteções entregues em nuvem.
O zagueiro do Microsoft antivírus detecta Pipemagic como variantes Win32/64, com alertas para detecção de malware, prevenção e atividades ligadas a ransomware.
As ferramentas de gerenciamento de vulnerabilidades destacam a exposição do CVE-2025-29824, enquanto o Microsoft Security Copilot oferece os PromptBooks para investigação de incidentes, análise do usuário e perfil de ameaças.
Relatórios de análise de ameaças detalham os padrões de exploração, enfatizando a necessidade de defesas resilientes para interromper os TTPs adversários e aumentar os custos operacionais.
Indicadores de compromisso
| Indicador | Tipo | Descrição |
|---|---|---|
| aaaaabbbbbbb.eastus.cloudapp.azure[.]com: 443 | Domínio | O domínio C2 da Pipemagic |
| DC54117B965674BAD3D7CD203ECF5E7FC822423A3F692895CF5E96E83FB88F6A | Arquivo SHA-256 Hash | Conta-gotas de memória (aplicativo de desktop chatgpt trojanizado) |
| 4843429E2E8871847BC1E97A0F12FA1F4166BAA4735DFF585CB3B4736E3FE49E | Arquivo SHA-256 Hash | Backdoor Pipemagic (desempacado na memória) |
| 297EA881AA2B39461997BAF75D83B390F2C36A9A0A4815C81B5CF8BE42840FD1 | Arquivo SHA-256 Hash | Módulo de rede Pipemagic (Unpacked in Memory) |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!