Microsoft, Windows Zero-Day’den yararlanan fidye yazılımı saldırılarına bağlı Pipemagik kötü amaçlı yazılım sunmak için sahte bir ChatGPT masaüstü uygulamasının kullanıldığı konusunda uyarıyor.
Microsoft’taki siber güvenlik araştırmacıları, Windows CLFS’de (CVE-2025-29824) sıfır gün kusurunu kötüye kullanan saldırıları araştırırken Pipemagic adlı yeni bir arka kapı keşfetti. Bu arka kapıyı tehlikeli kılan şey, fidye yazılımı işlemlerini çalıştırmak için bir çerçeve sunarken, meşru bir açık kaynaklı ChatGPT masaüstü uygulaması olarak nasıl poz verdiğidir.
Pipemagik, gerektiğinde farklı bileşenler yükleyen modüler bir tasarıma dayanır. Bu modüller, komuta ve kontrol iletişiminden yük yürütmesine kadar her şeyi işlerken, şifreli adlandırılmış borular ve bellek içi operasyonlar aracılığıyla gizli kalır. İşlevlerini bu şekilde ayırarak, arka kapı savunucuların tespit etmesini veya analiz etmesini çok daha zor hale getirir.
Microsoft tarafından belirtilen (burada mevcut olan) GitHub’daki ChatGPT masaüstü projesinin kötü niyetli olmadığını belirtmek gerekir. Olan, saldırganların pipemagik arka kapıyı teslim etmek için gizli kodla değiştirilmiş açık kaynak olduğu için bu uygulamanın truva atlı bir kopyasını kullanmasıdır. Meşru versiyon güvenli kalır, ancak gayri resmi veya tehlikeye girmeyen sitelerden indirme enfeksiyon riski taşır.
“Pipemagik enfeksiyon yürütmenin ilk aşaması, açık kaynaklı Chatgpt masaüstü uygulama projesi olarak gizlenmiş kötü niyetli bir bellek içi damlalıkla başlar. Tehdit oyuncusu, GitHub projesinin bellekte gömülü bir yükü şifresini çözmek ve başlatmak için kötü niyetli kod içeren değiştirilmiş bir sürümünü kullanır.”
Microsoft
Pipemagik Storm-2460’a atfedilen
Microsoft, Pipemagic’i Storm-2460 olarak bilinen finansal olarak motive olmuş bir gruba atıfta bulunur. Son kampanyalarda grup, ilk erişimden fidye yazılımı dağıtımına geçmek için bir ayrıcalık artış kırılganlığı olan CVE-2025-29824 ile birlikte kullandı.
Saldırılar bir endüstri veya coğrafya ile sınırlı değildi, mağdurlar ABD, Avrupa, Güney Amerika ve Orta Doğu’daki finans ve gayrimenkul kuruluşlarını hedeflediğini belirledi.
Pipemagic’i inceleyen araştırmacılar, dahili kuyruklar gibi hareket eden bir dizi bağlantılı listeden yükleri yönettiğini buldular. Bazı listeler yürütülmeyi bekleyen modülleri tutar, diğerleri ağ iletişimini yönetirken, bir liste açıklanamaz, ancak yüklü yükler tarafından dinamik olarak kullanılmış gibi görünmektedir. Bu yapı, Storm-2460’ın bileşenleri anında güncellemesine veya değiştirmesine izin vererek, tüm arka kapıyı yeniden dağıtmak zorunda kalmadan esneklik kazandırır.
Microsoft’un uzun teknik blog yayınına göre, Pipemagic’in iletişim katmanı eşit derecede sofistike. Arka kapı, doğrudan komut sunucusuna bağlanmak yerine, operatörleriyle WebSocket tarzı bir bağlantı kuran özel bir ağ modülü yükler.
Bu tasarım, ağ trafiğini arka kapının geri kalanından izole ederek algılama fırsatlarını sınırlar. Güvenli bir kanal etkin olduğunda, Pipemagic hangi modüllerin çalıştırılacağı veya hangi verilerin dışarı atılacağı konusunda talimatlar almadan önce bot kimliği, alan detayları, işlem bütünlüğü ve kullanıcı bağlamı dahil ayrıntılı sistem bilgilerini gönderir.
Storm-2460 ayrıca yeni modüller ekleyebilir, mevcut olanları güncelleyebilir, karma toplayabilir, süreçleri numaralandırabilir ve hatta kendi kendini aşınma için arka kapı yürütülebilir dosyasını yeniden adlandırabilir. Bu nedenle Microsoft, Microsoft Defender ürünlerinde algılamalar yayınladı ve kuruluşları güvenliklerini gözden geçirmeye çağırıyor.
Pipemagic, arka fırınların ne kadar geliştiğini gösterir. Modüler arka kapıya sahip sıfır gün istismarı kullanarak, Storm-2460, tespiti kolayca atlayan bir araç oluşturdu. Tam Microsoft analizi iç yapılarının derinliklerine girer ve ayrıca hafifletme rehberliği sunar.