Опасный дуэт: PipeMagic и ChatGPT атакуют бизнес
Внешне легитимное приложение скрывает опасный бэкдор, крадущий данные.
Троянец PipeMagic, впервые замеченный в атаках на азиатские компании в 2022 году, теперь нацелен на организации в Саудовской Аравии. В сентябре 2024 года специалисты Kaspersky GReAT зафиксировали новую волну активности вредоносного ПО. бэкдор, способный красть конфиденциальные данные и предоставлять удалённый доступ к скомпрометированным устройствам, внедряется в корпоративные сети под видом приложения ChatGPT.
Кибератаки в новой волне используют поддельное приложение ChatGPT, написанное на языке программирования Rust. Внешне приложение выглядит легитимно и содержит несколько стандартных библиотек Rust, часто используемых в разработке программного обеспечения. Однако при запуске приложения появляется пустой экран, за которым скрывается массив зашифрованных данных размером 105 615 байт. Именно в этом зашифрованном блоке и находится вредоносное ПО. Оно ищет ключевые функции Windows API путём поиска соответствующих смещений в памяти с помощью алгоритма хэширования имён, а затем загружает бэкдор, настраивает необходимые параметры и запускает его.
Злоумышленники продолжают совершенствовать свои методы и расширять географию атак. Кампания PipeMagic демонстрирует расширение деятельности троянца с Азии на Саудовскую Аравию. Эксперты предупреждают, что число атак с использованием этого бэкдора, вероятно, будет расти в ближайшем будущем.