PipeMagic utilise une fausse application leurre ChatGPT

Alarme de Kaspersky qui découvre la porte dérobée PipeMagic qui attaque les entreprises via une fausse application ChatGPT utilisée comme appât. Ciblant initialement les organisations en Asie, il a désormais étendu sa portée aux entreprises du Arabie Saoudite. Une porte dérobée est installée qui vous permet d’extraire des données sensibles et d’accéder à distance aux appareils compromis. Le malware agit également comme une passerelle, permettant l’installation d’autres malwares et facilitant de nouvelles attaques au sein des réseaux d’entreprise.

PipeMagic utilise une fausse application ChatGPT

PipeMagic a été découvert par Kaspersky en 2022 dans un cheval de Troie basé sur un plugin ciblant les entreprises asiatiques. Ce malware était déjà connu pour sa capacité à fonctionner à la fois comme porte dérobée et comme passerelle. En septembre 2024, l’équipe de recherche de Kaspersky a observé une nouvelle vague d’attaques liées à PipeMagic. Cette fois, direction des organisations en Arabie Saoudite.

Quand les apparences sont trompeuses

Cette version utilise une fausse application ChatGPT, développée avec le langage de programmation Rust. En apparence, l’application semble légitimecar il contient de nombreuses bibliothèques Rust qui sont également utilisées dans de nombreuses autres applications basées sur Rust. Une fois exécutée, l’application affiche uniquement un écran vide sans interface visible et masque un fichier de 105 615 octets de données cryptées contenant une charge utile malveillante. À l’étape suivante, le malware recherche les fonctions clés de l’API Windows, identifiant les décalages de mémoire correspondants grâce à un algorithme de hachage de nom. Ensuite, il alloue de la mémoire, charge la porte dérobée PipeMagic et commence à l’exécuter.

Méfiez-vous d’une fausse application ChatGPT

L’un des caractéristiques La particularité de PipeMagic est la génération aléatoire d’un tableau de 16 octets qui crée un « pipe » nommé au format \.pipe1.. Un thread est créé qui génère en permanence ce canal, lit les données et les détruit immédiatement après utilisation. Ce canal est utilisé pour recevoir des charges utiles codées et des commandes d’arrêt via l’interface locale. PipeMagic fonctionne généralement avec plusieurs plugins téléchargés à partir d’un serveur de commande et de contrôle (C2), qui dans ce cas était hébergé sur Microsoft Azure.

L’évolution de la cybercriminalité ne s’arrête jamais

Sergey Lozhkin, chercheur principal en sécurité chez Kaspersky’s GREAT
Les cybercriminels font constamment évoluer leurs techniques pour cibler des victimes qui peuvent obtenir de plus gros profits. Aidez également à étendre leur présence. La récente expansion du cheval de Troie PipeMagic de l’Asie vers l’Arabie Saoudite en est un exemple clair. Compte tenu de la complexité de cette porte dérobée, nous nous attendons à une augmentation des attaques qui l’utilisent.

Viens protégez-vous donne-le attaques

Kaspersky recommande :

• Soyez prudent lors du téléchargement logiciels provenant d’Internet, surtout s’ils proviennent d’un site Web tiers. Essayez toujours de télécharger le logiciel depuis le site officiel de l’entreprise ou du service que vous utilisez.
• Fournissez du SOC à votre équipe accès aux dernières informations sur les menaces (TI). Kaspersky Threat Intelligence est un point d’accès unique pour le service informatique de l’entreprise, fournissant des données et des informations sur les cyberattaques collectées par Kaspersky sur 20 ans.
• Mise à jour votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts GReAT.
• Pour la détection au niveau des points finaux, l’enquête et la résolution rapide des incidents, mettent en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.
• En plus d’adopter protection essentielle des points finaux, mettez en œuvre une solution de sécurité de niveau entreprise qui détecte précocement les menaces avancées au niveau du réseau, telle que Kaspersky Anti Targeted Attack Platform.
• Depuis de nombreuses attaques ciblées Commencez par le phishing ou d’autres techniques d’ingénierie sociale, il est important de proposer une formation de sensibilisation à la sécurité et de fournir à l’équipe des compétences pratiques, par exemple via la plateforme automatisée de sensibilisation à la sécurité de Kaspersky.