Il Global Research and Analysis Team (GReAT) di Kaspersky ha recentemente scoperto una nuova campagna di attacchi informatici, che sfrutta il trojan PipeMagic. Inizialmente rivolto contro le organizzazioni in Asia, ha ora esteso la sua portata alle aziende in Arabia Saudita. Gli aggressori utilizzano una falsa applicazione ChatGPT come esca, installando una backdoor che consente di estrarre i dati sensibili e di accedere da remoto ai dispositivi compromessi. Il malware funge anche da gateway, permettendo l’installazione di altri malware e facilitando ulteriori attacchi all'interno delle reti aziendali.
La backdoor PipeMagic è stata scoperta da Kaspersky nel 2022 in un trojan basato su plugin che colpiva le aziende asiatiche. Questo malware era già noto per la sua capacità di operare sia come backdoor che come gateway. Nel settembre 2024, il team di ricerca di Kaspersky ha osservato una nuova ondata di attacchi legati a PipeMagic, questa volta diretti verso le organizzazioni in Arabia Saudita.
Questa versione utilizza una falsa applicazione ChatGPT, sviluppata con il linguaggio di programmazione Rust. In apparenza, l'applicazione sembra legittima, poiché contiene molte librerie Rust utilizzate anche in molte altre applicazioni basate su Rust. Tuttavia, una volta eseguita, l’app mostra solo una schermata vuota senza alcuna interfaccia visibile e nasconde un file di 105.615 byte di dati crittografati che contiene un payload dannoso.
Nella fase successiva, il malware ricerca le principali funzioni API di
Windows, individuando gli offset di memoria corrispondenti attraverso un
algoritmo di hashing dei nomi. Successivamente, alloca la memoria, carica la
backdoor PipeMagic e ne avvia l'esecuzione.
Una delle
caratteristiche distintive di PipeMagic è la generazione casuale di un array di
16 byte che crea una "pipe" denominata nel formato \\.\pipe\1.<stringa
esadecimale>. Viene creato
un thread che genera continuamente questa pipe, legge i dati e la distrugge
subito dopo l’utilizzo. Questa pipe serve a ricevere payload codificati e
comandi di stop attraverso l'interfaccia locale. PipeMagic opera generalmente
con più plugin scaricati da un server di comando e controllo (C2), che in
questo caso era ospitato su Microsoft Azure.
“I cybercriminali evolvono costantemente le loro tecniche per colpire vittime che possono garantire maggiori profitti e contribuire adampliare la loro presenza. La recente espansione del trojan PipeMagic dall’Asia all’Arabia Saudita ne è un chiaro esempio. Vista la complessità di questa backdoor, prevediamo un aumento degli attacchi che ne faranno uso”, ha commentato Sergey Lozhkin, Principal Security Researcher del Kaspersky’s GReAT.
Per proteggersi da questi attacchi mirati da parte di attori noti o sconosciuti, Kaspersky consiglia di:
· Fare attenzione quando si scaricano software da Internet, soprattutto se proviene da un sito web di terze parti. Cercare sempre di scaricare il software dal sito ufficiale dell’azienda o del servizio che si utilizza.
· Fornire al proprio team SOC l’accesso alla Threat Intelligence (TI) più recente. Kaspersky Threat Intelligence è un unico punto di accesso per la TI dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
· Aggiornare il proprio team di cybersecurity per affrontare le ultime minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti del GReAT.
· Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
· Oltre ad adottare una protezione essenziale per gli endpoint, implementare una soluzione di sicurezza di tipo aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
· Dato che molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante prevedere una formazione di sensibilizzazione alla sicurezza e fornire al team le competenze pratiche, per esempio attraverso Kaspersky Automated Security Awareness Platform.