.webp?w=696&resize=696,0&ssl=1 "Chatgpt uygulaması olarak pipemagik kötü amaçlı yazılım taklit")
Finansal olarak motive olmuş tehdit oyuncusu Storm-2460 tarafından konuşlandırılan son derece modüler bir arka kapı olan Pipemagic’i kullanan sofistike bir kötü amaçlı yazılım kampanyası tanımlanmıştır.
Bu gelişmiş kötü amaçlı yazılım, fidye yazılımlarını küresel olarak birden fazla sektörde dağıtmak için Windows Ortak Günlük Dosya Sisteminde (CLFS) sıfır gün güvenlik açığı CVE-2025-29824’ten yararlanırken meşru açık kaynaklı Chatgpt masaüstü uygulaması olarak maskelenir.
Key Takeaways
1. PipeMagic masquerades as ChatGPT Desktop App while exploiting a Windows zero-day.
2. Features a modular design with encrypted named pipe communication and dynamic payload loading to evade detection.
3. Storm-2460 targets IT, financial, and real estate sectors worldwide.
Tehdit oyuncusu, GitHub’da bulunan popüler Chatgpt masaüstü uygulamasının truva atlı bir versiyonunu, Pipemagik arka kapı için bir dağıtım mekanizması olarak kullanır.
Bu aldatıcı yaklaşım, kötü amaçlı yazılımın, tehlikeye atılan sistemlere kalıcı erişim oluştururken ilk kullanıcı şüphesini atlamasını sağlar.
Gözlenen hedefler, ABD, Avrupa, Güney Amerika ve Orta Doğu’daki bilgi teknolojisi, finansal ve gayrimenkul sektörlerini kapsar ve kampanyanın geniş coğrafi kapsamı ve endüstri arası etkisini göstermektedir.
Pipemagik modüler arka kapı
Microsoft, Pipemagic’in, tehlikeye atılan meşru web sitelerinden Certutil yardımcı programı aracılığıyla indirilen kötü amaçlı bir msBuild dosyasıyla başlayan karmaşık bir enfeksiyon dizisi kullandığını bildiriyor.
İlk aşamada, gömülü pipemagik yükü saptanan ve algılamadan kaçınmak için doğrudan belleğe şifresini çözen ve başlatan meşru ChatGPT uygulaması olarak gizlenmiş bir bellek içi damlalık bulunur.
Kötü amaçlı yazılım, enfekte olmuş her ana bilgisayar için benzersiz bir 16 bayt bot tanımlayıcısı oluşturur ve \\. \ Boru \ 1 formatı kullanılarak adlandırılmış bir boru oluşturur.
Bu çift yönlü iletişim kanalı, gizli koruma sağlarken sürekli modül dağıtımını sağlar.
Sistem, sabit kodlu 32 baytlık bir anahtarla RC4 şifrelemesini kullanır ve şanzıman sırasında yük bütünlüğünü sağlamak için SHA-1 karma doğrulama gerçekleştirir.
Pipemagic’in teknik sofistike, iki kat bağlantılı dört farklı liste yapısının kullanımında yatmaktadır: Her biri arka kapı mimarisinde belirli işlevlere hizmet eden yük, yürütme, ağ ve bilinmeyen listeler.
The malware maintains persistent command-and-control (C2) communication through a dedicated networking module that handles TCP connections to the domain aaaaabbbbbbb.eastus.cloudapp.azure[.]com: 443, Microsoft’un daha sonra devre dışı bırakıldığı.
Arka kapı, sistem keşfi, modül yönetimi, süreç numaralandırma ve yük yürütme dahil olmak üzere 20’den fazla farklı operasyonel komutu desteklemektedir.
Kritik yetenekler, kendi kendine yıkım için arka kapı kodu 0xf ve modül değiştirme için 0x11’i içerir ve dinamik operasyonel adaptasyonu mümkün kılar.
Kötü amaçlı yazılım, veri verileri C2 sunucularına iletmeden önce işletim sistemi sürümü, etki alanı üyeliği, bütünlük seviyeleri ve ağ yapılandırması dahil kapsamlı sistem bilgilerini toplar.
Hafifletme
Microsoft, ihlal sonrası artefakt iyileştirmesi için EDR’nin blok modunda uygulanmasının yanı sıra uç nokta için defans oyuncusunda kurcalama korumasının ve ağ korumasının sağlanmasını önerir.
Kuruluşlar, CVE-2025-29824 için yamaların dağıtılmasına öncelik vermeli ve hızla gelişen saldırı varyantlarına karşı savunmak için bulut tarafından teslim edilen korumayı kullanmalıdır.
Microsoft Defender XDR, aktif kötü amaçlı yazılım süreçleri ve fidye yazılımı bağlantılı tehdit grubu faaliyetleri de dahil olmak üzere pipemagik varyantlar için spesifik tespitler sağlar.
Kampanya, güncellenmiş güvenlik kontrollerinin sürdürülmesinin ve şüpheli olarak adlandırılan boru iletişimi ve işletme ortamlarında olağandışı chatgpt uygulama davranışının izlenmesinin kritik önemini vurgulamaktadır.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →