Prikaži glavni meni

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Opisi virusa, 19.08.2025, 12:30 PM

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ransomwarea koji iskorišćavaju Windows CLFS zero-day ranjivost (CVE-2025-29824).

Istraživači u Microsoftu otkrili su ovaj backdoor dok su istraživali napade koji su zloupotrebljavali zero-day ranjivost u Windows CLFS-u (CVE-2025-29824). Ono što ovaj backdoor čini opasnim jeste to što se predstavlja kao legitimna ChatGPT desktop aplikacija otvorenog koda, dok zapravo otvara vrata napadu ransomwarea.

PipeMagic se oslanja na modularni dizajn, učitavajući različite komponente po potrebi. Razdvajanjem svojih funkcija na ovaj način, PipeMagic značajno otežava detekciju i analizu. Moduli pokrivaju komunikaciju sa komandno-kontrolnim serverom, izvršavanje payload-a i rad u memoriji. Ovakva struktura omogućava napadačima da po potrebi dodaju ili zamene delove koda.

Treba napomenuti da projekat ChatGPT Desktop na GitHub-u koji je pomenuo Microsoft nije sporan sam po sebi. Ono što se desilo jeste da su napadači koristili trojanizovanu kopiju ove aplikacije, pošto je otvorenog koda, modifikovanu skrivenim kodom, da bi isporučili PipeMagic. Legitimna verzija ostaje bezbedna, ali preuzimanje sa nezvaničnih ili kompromitovanih sajtova nosi rizik od infekcije.

Prva faza infekcije kreće od droppera prerušenog u pomenutu aplikaciju, koji dešifruje i pokreće skriveni payload u memoriji.

Microsoft je pripisao PipeMagic hakerskoj grupi Storm-2460, poznatoj po finansijski motivisanim napadima. U poslednjim kampanjama, grupa ga je koristila sa ranjivošću CVE-2025-29824 za eskalaciju privilegija i kasniju isporuku ransomwarea.

Napadi nisu ograničeni na jedan sektor ili region - pogođene su organizacije iz finansijskog i sektora nekretnina u SAD-u, Evropi, Južnoj Americi i na Bliskom istoku.

PipeMagic pokazuje koliko su savremeni backdoorovi sofisticirani. Umesto direktnog povezivanja sa svojim serverom, backdoor učitava namenski modul za mrežnu komunikaciju koji uspostavlja poseban, izolovan kanal kroz koji šalje detaljne informacije o sistemu i prima instrukcije. Na taj način mrežni saobraćaj ostaje odvojen od ostatka malvera, što dodatno smanjuje mogućnost detekcije.

Storm-2460 može ubacivati nove module, ažurirati postojeće, prikupljati lozinke, pa čak i naterati backdoor da se sam izbriše. PipeMagic je primer kako kombinacija zero-day eksploita i modularnog backdoora može da zaobiđe klasičnu zaštitu i otvori put ransomware napadima.