Microsoft предупреди за фалшиво настолно приложение ChatGPT, циркулиращо онлайн, което всъщност носи зловреден софтуер, служещ като крадец на информация и бекдор (задна врата).
В подробен доклад Microsoft заяви, че е наблюдавала зловредния модулен фреймуърк PipeMagic, произхождащ от популярни уеб ресурс за разработчици на софтуер GitHub.
„Първият етап от изпълнението на инфекцията с PipeMagic започва със злонамерен дропер в паметта, маскиран като проекта с отворен код ChatGPT Desktop Application”, се казва в доклада.
„Злонамереният софтуер използва модифицирана версия на проект в GitHub, който включва злонамерен код за декриптиране и стартиране на вграден полезен товар в паметта”, уточняват изследователите.
Злонамереният софтуер е дело на хакера Storm-2460, за когото Microsoft сигнализира в началото на април 2025 г. Той се възползва от уязвимост от нулев ден в Common Log File System, за да внедри криптиращия софтуер RansomEXX.
В този случай, макар групата да е злоупотребила със същата уязвимост – CVE-2025-29824, Microsoft не посочва кой криптиращ софтуер е използван.
PipeMagic изглежда е еволюирал, тъй като в по-ранния доклад е описан като обикновен троянски кон със задна врата.
Сега той се представя като силно модулна рамка за зловреден софтуер, която позволява на атакуващите да изпълняват динамично полезни товари, да поддържат постоянен контрол и да комуникират тайно със сървъри за командване и контрол.
PipeMagic може да управлява криптирани модули за полезни товари в паметта, да извършва ескалация на привилегиите, да събира обширна системна информация и да изпълнява произволен код чрез своята архитектура на свързани списъци.
Зловредният софтуер поддържа също криптирана междупроцесна комуникация чрез именувани канали и може да се самоактуализира, като получава нови модули от своята C2 инфраструктура.
Макар да заяви, че броят на жертвите е „ограничен”, Microsoft не разкрива конкретни числа. Атакувани са цели в Съединените щати, Европа, Южна Америка и Близкия изток. Повечето целеви индустрии включват ИТ, финанси и недвижими имоти.
За да смекчи заплахата, Microsoft препоръчва многопластова стратегия за защита, която включва активиране на защита от нежелана намеса и мрежова защита в Microsoft Defender for Endpoint, откриване и реагиране на крайни точки в блоков режим, наред с други неща.
