T24 Wissenschaft / Technologie
Das Kaspersky Global Research and Analytics Team (GReAT) hat eine neue Cyberangriffskampagne mit dem Trojaner PipeMagic entdeckt.
Nach Angaben des Unternehmens verwenden Angreifer eine gefälschte ChatGPT-Anwendung als Köder und installieren eine Hintertür, die sowohl sensible Daten extrahiert als auch umfassenden Fernzugriff auf kompromittierte Geräte ermöglicht. Schädliche Software fungiert auch als Einfallstor, über das andere Schadsoftware eindringen und weitere Angriffe auf das Unternehmensnetzwerk starten kann.
Kaspersky entdeckte die PipeMagic-Hintertür erstmals im Jahr 2022. Dieser Plug-in-basierte Trojaner zielte zum Zeitpunkt seiner Entdeckung auf Organisationen in Asien ab. Die betreffende Schadsoftware kann sowohl als Hintertür als auch als Einfallstor fungieren. Im September 2024 beobachtete Kaspersky GReAT das Wiederauftauchen von PipeMagic, diesmal im Visier von Organisationen in Saudi-Arabien.
Die neue Version verwendet eine nachgebildete ChatGPT-Implementierung, die mit der Programmiersprache Rust erstellt wurde. Auf den ersten Blick sieht es wie eine legitime Anwendung aus, die mehrere gängige Rust-Bibliotheken enthält, die in vielen anderen Rust-basierten Anwendungen verwendet werden. Wenn die Anwendung jedoch ausgeführt wird, zeigt sie einen leeren Bildschirm ohne sichtbare Schnittstelle an und verbirgt eine bösartige Nutzlast von 105.615 Bytes verschlüsselter Informationen.
In der zweiten Phase verwendet die Schadsoftware einen Namensverschlüsselungsalgorithmus, um nach relevanten Speichererweiterungen und wertvollen Windows-API-Funktionen zu suchen. Anschließend reserviert es sich selbst Speicher, installiert die PipeMagic-Hintertür, nimmt die notwendigen Einstellungen vor und führt die Schadsoftware aus.
Eine der einzigartigen Funktionen von PipeMagic besteht darin, dass es eine zufällige Zeichenfolge von 16 Bytes vorbereitet, um eine Pipe zu erstellen. Es wird immer ein Thread erstellt, der diese Pipe-Struktur vorbereitet, die Informationen liest und sie dann zerstört. Diese Pipe wird verwendet, um codierte Nutzlasten zu empfangen und Signale über die lokale Standardschnittstelle abzufangen. PipeMagic funktioniert mit mehreren Plugins, die häufig von einem auf Microsoft Azure gehosteten Command-and-Control-Server (C2) heruntergeladen werden.
Kaspersky GReAT Security Research Leader, dessen Ansichten in der Stellungnahme enthalten waren Sergey Lozhkin, „Cyberkriminelle entwickeln ihre Strategien ständig weiter, um produktivere Ziele zu erreichen und ihre Präsenz auszubauen, wie die jüngste Verbreitung des PipeMagic-Trojaners von Asien nach Saudi-Arabien zeigt. Angesichts seiner Fähigkeiten erwarten wir eine Zunahme der Angriffe, die diese Hintertür nutzen.“ „er benutzte seine Worte. (AA)
„Sie wurden nach Griechenland geschickt, obwohl sie kein Griechisch konnten“; „Exchange“, die Geschichte einer verlorenen Generation |
T24