Microsoft ma wydany Ostrzeżenie dotyczące fałszywej aplikacji komputerowej Chatgpt, która rozprzestrzenia się online. Ta aplikacja zawiera złośliwe oprogramowanie dla rurociągów, zidentyfikowane jako bardzo modułowy ramy działające zarówno jako infostealera, jak i backdoor.
Według szczegółowego raportu Microsoft ramy przygotowawcze pochodziły z GitHub. Raport stwierdza: „Pierwszy etap wykonywania infekcji przygotowawczej rozpoczyna się od złośliwego kroplowania w pamięci ukrytej jako projekt aplikacji Chatgpt Chatgpt Chatgpt”. Obejmuje to aktorów zagrożeń wykorzystujących zmodyfikowaną wersję projektu GitHub, który zawiera złośliwy kod zaprojektowany do odszyfrowania i uruchamiania osadzonego ładunku bezpośrednio w pamięć.
Złośliwe oprogramowanie przypisuje się aktorowi zagrożeniowi znanego jako Storm-2460. Microsoft wcześniej zidentyfikował Storm-2460 na początku kwietnia 2025 r. W celu wykorzystania podatności na zero dni we wspólnym systemie plików dziennika (CVE-2025-29824) w celu wdrożenia szyfrownika Ransomexx. Ta podatność jest ponownie wykorzystywana w kampanii pipemagicznej. Podczas gdy Microsoft potwierdził ciągłe nadużycie CVE-2015-29824, firma nie określiła, czy ten sam szyfrownik został wdrożony w tym przypadku. Raport podkreśla ewolucję Pipemagica z podstawowego trojana backdoor na złożone ramy złośliwego oprogramowania.
Obecna iteracja Pipemagic charakteryzuje się jej modułową konstrukcją, która zapewnia zagrożeniem podmiotom możliwość dynamicznego wykonywania ładunków, utrzymywania trwałej kontroli nad zagrożonymi systemami i informowania z serwerami poleceń i kontroli. Jego możliwości obejmują zarządzanie zaszyfrowanymi modułami ładunku w pamięci, wykonywanie eskalacji uprawnień, zbieranie szeroko zakrojonych informacji systemowych i wykonywanie dowolnego kodu przy użyciu jego powiązanej architektury listy.
Pipemagic ułatwia również zaszyfrowaną komunikację międzyprocesową za pośrednictwem nazwanych rur. Ponadto złośliwe oprogramowanie może samodzielnie się opłacić, odbierając nowe moduły z infrastruktury dowodzenia i kontroli, umożliwiając ciągłe udoskonalanie i adaptację.
Podczas gdy liczba ofiar jest opisywana przez Microsoft jako „ograniczona”, określone liczby nie zostały ujawnione. Obserwowane cele znajdują się w Stanach Zjednoczonych, w Europie, Ameryce Południowej i na Bliskim Wschodzie. Najczęściej ukierunkowane branże obejmują technologie informacyjne, usługi finansowe i nieruchomości.
Aby złagodzić zagrożenie stwarzane przez Pipemagic, Microsoft zaleca wdrożenie warstwowej strategii obrony. Obejmuje to włączenie ochrony manipulacji i ochrony sieci w Microsoft Defender dla punktu końcowego. Ponadto Microsoft doradza uruchomienie wykrywania i reakcji punktu końcowego w trybie blokowym, a także inne miary bezpieczeństwa.
