Pratite nas preko RSS-aLažna ChatGPT desktop aplikacija širi malver PipeMagic
Opisi virusa, 19.08.2025, 12:30 PM
Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ransomwarea koji iskorišćavaju Windows CLFS zero-day ranjivost (CVE-2025-29824).
Istraživači u Microsoftu otkrili su ovaj backdoor dok su istraživali napade koji su zloupotrebljavali zero-day ranjivost u Windows CLFS-u (CVE-2025-29824). Ono što ovaj backdoor čini opasnim jeste to što se predstavlja kao legitimna ChatGPT desktop aplikacija otvorenog koda, dok zapravo otvara vrata napadu ransomwarea.
PipeMagic se oslanja na modularni dizajn, učitavajući različite komponente po potrebi. Razdvajanjem svojih funkcija na ovaj način, PipeMagic značajno otežava detekciju i analizu. Moduli pokrivaju komunikaciju sa komandno-kontrolnim serverom, izvršavanje payload-a i rad u memoriji. Ovakva struktura omogućava napadačima da po potrebi dodaju ili zamene delove koda.
Treba napomenuti da projekat ChatGPT Desktop na GitHub-u koji je pomenuo Microsoft nije sporan sam po sebi. Ono što se desilo jeste da su napadači koristili trojanizovanu kopiju ove aplikacije, pošto je otvorenog koda, modifikovanu skrivenim kodom, da bi isporučili PipeMagic. Legitimna verzija ostaje bezbedna, ali preuzimanje sa nezvaničnih ili kompromitovanih sajtova nosi rizik od infekcije.
Prva faza infekcije kreće od droppera prerušenog u pomenutu aplikaciju, koji dešifruje i pokreće skriveni payload u memoriji.
Microsoft je pripisao PipeMagic hakerskoj grupi Storm-2460, poznatoj po finansijski motivisanim napadima. U poslednjim kampanjama, grupa ga je koristila sa ranjivošću CVE-2025-29824 za eskalaciju privilegija i kasniju isporuku ransomwarea.
Napadi nisu ograničeni na jedan sektor ili region - pogođene su organizacije iz finansijskog i sektora nekretnina u SAD-u, Evropi, Južnoj Americi i na Bliskom istoku.
PipeMagic pokazuje koliko su savremeni backdoorovi sofisticirani. Umesto direktnog povezivanja sa svojim serverom, backdoor učitava namenski modul za mrežnu komunikaciju koji uspostavlja poseban, izolovan kanal kroz koji šalje detaljne informacije o sistemu i prima instrukcije. Na taj način mrežni saobraćaj ostaje odvojen od ostatka malvera, što dodatno smanjuje mogućnost detekcije.
Storm-2460 može ubacivati nove module, ažurirati postojeće, prikupljati lozinke, pa čak i naterati backdoor da se sam izbriše. PipeMagic je primer kako kombinacija zero-day eksploita i modularnog backdoora može da zaobiđe klasičnu zaštitu i otvori put ransomware napadima.
Izdvojeno
Lažna ChatGPT desktop aplikacija širi malver PipeMagic
Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje
Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova
Istraživači iz kompanije Kaspersky otkrili su novog trojanca nazvanog Efimer, koji zamenjuje adrese kripto novčanika direktno u clipboardu. Jedan k... Dalje
Malver JSCEAL se širi preko oglasa na Facebooku
Istraživači sajber bezbednosti iz kompanije Check Point upozorili su na sofisticiranu kampanju distribucije lažnih aplikacija za trgovinu kriptoval... Dalje
Matanbuchus 3.0: Povratak opasnog malvera
.jpg)
Istraživači sajber bezbednosti iz Morphisec-a upozorili su na novu verziju poznatog malvera Matanbuchus. U pitanju je sofisticirani “loader&rd... Dalje
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida
Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Pratite nas
Nagrade
Prijatelji
