Passa al contenuto principale

Kaspersky scopre la backdoor PipeMagic che attacca le aziende attraverso una falsa applicazione ChatGPT

9 ottobre 2024

Il Global Research and Analysis Team (GReAT) di Kaspersky ha recentemente scoperto una nuova campagna di attacchi informatici, che sfrutta il trojan PipeMagic. Inizialmente rivolto contro le organizzazioni in Asia, ha ora esteso la sua portata alle aziende in Arabia Saudita. Gli aggressori utilizzano una falsa applicazione ChatGPT come esca, installando una backdoor che consente di estrarre i dati sensibili e di accedere da remoto ai dispositivi compromessi. Il malware funge anche da gateway, permettendo l’installazione di altri malware e facilitando ulteriori attacchi all'interno delle reti aziendali.

La backdoor PipeMagic è stata scoperta da Kaspersky nel 2022 in un trojan basato su plugin che colpiva le aziende asiatiche. Questo malware era già noto per la sua capacità di operare sia come backdoor che come gateway. Nel settembre 2024, il team di ricerca di Kaspersky ha osservato una nuova ondata di attacchi legati a PipeMagic, questa volta diretti verso le organizzazioni in Arabia Saudita.

Questa versione utilizza una falsa applicazione ChatGPT, sviluppata con il linguaggio di programmazione Rust. In apparenza, l'applicazione sembra legittima, poiché contiene molte librerie Rust utilizzate anche in molte altre applicazioni basate su Rust. Tuttavia, una volta eseguita, l’app mostra solo una schermata vuota senza alcuna interfaccia visibile e nasconde un file di 105.615 byte di dati crittografati che contiene un payload dannoso.


alt

Nella fase successiva, il malware ricerca le principali funzioni API di Windows, individuando gli offset di memoria corrispondenti attraverso un algoritmo di hashing dei nomi. Successivamente, alloca la memoria, carica la backdoor PipeMagic e ne avvia l'esecuzione.
Una delle caratteristiche distintive di PipeMagic è la generazione casuale di un array di 16 byte che crea una "pipe" denominata nel formato \\.\pipe\1.<stringa esadecimale>. Viene creato un thread che genera continuamente questa pipe, legge i dati e la distrugge subito dopo l’utilizzo. Questa pipe serve a ricevere payload codificati e comandi di stop attraverso l'interfaccia locale. PipeMagic opera generalmente con più plugin scaricati da un server di comando e controllo (C2), che in questo caso era ospitato su Microsoft Azure.

I cybercriminali evolvono costantemente le loro tecniche per colpire vittime che possono garantire maggiori profitti e contribuire adampliare la loro presenza. La recente espansione del trojan PipeMagic dall’Asia all’Arabia Saudita ne è un chiaro esempio. Vista la complessità di questa backdoor, prevediamo un aumento degli attacchi che ne faranno uso”, ha commentato Sergey Lozhkin, Principal Security Researcher del Kaspersky’s GReAT.

Per proteggersi da questi attacchi mirati da parte di attori noti o sconosciuti, Kaspersky consiglia di:

·        Fare attenzione quando si scaricano software da Internet, soprattutto se proviene da un sito web di terze parti. Cercare sempre di scaricare il software dal sito ufficiale dell’azienda o del servizio che si utilizza.

·        Fornire al proprio team SOC l’accesso alla Threat Intelligence (TI) più recente. Kaspersky Threat Intelligence è un unico punto di accesso per la TI dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi  raccolti da Kaspersky in oltre 20 anni.

·        Aggiornare il proprio team di cybersecurity per affrontare le ultime minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti del GReAT.

·        Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.

·        Oltre ad adottare una protezione essenziale per gli endpoint, implementare una soluzione di sicurezza di tipo aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.

·        Dato che molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante prevedere una formazione di sensibilizzazione alla sicurezza e fornire al team le competenze pratiche, per esempio attraverso Kaspersky Automated Security Awareness Platform.

 

Kaspersky scopre la backdoor PipeMagic che attacca le aziende attraverso una falsa applicazione ChatGPT

Il Global Research and Analysis Team (GReAT) di Kaspersky ha recentemente scoperto una nuova campagna di attacchi informatici, che sfrutta il trojan PipeMagic. Inizialmente rivolto contro le organizzazioni in Asia, ha ora esteso la sua portata alle aziende in Arabia Saudita. Gli aggressori utilizzano una falsa applicazione ChatGPT come esca, installando una backdoor che consente di estrarre i dati sensibili e di accedere da remoto ai dispositivi compromessi. Il malware funge anche da gateway, permettendo l’installazione di altri malware e facilitando ulteriori attacchi all'interno delle reti aziendali.
Kaspersky logo

Informazioni su Kaspersky

Kaspersky è un'azienda globale di sicurezza informatica e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti fino a oggi dalle minacce informatiche emergenti e dagli attacchi mirati, l'intelligence sulle minacce e le competenze in materia di sicurezza di Kaspersky si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L’azienda offre un portafoglio di prodotti di sicurezza completo, che include protezione degli endpoint leader di settore, prodotti e servizi di sicurezza specializzati e soluzioni Cyber ​​Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 clienti aziendali a proteggere ciò che conta di più per loro. Ulteriori informazioni sul sito Web www.kaspersky.it.

Articolo correlato Comunicati Stampa