Il Global Research and Analysis Team (GReAT) di Kaspersky ha recentemente scoperto una nuova campagna di attacchi informatici, che sfrutta il trojan PipeMagic. Inizialmente rivolto contro le organizzazioni in Asia, ha ora esteso la sua portata alle aziende in Arabia Saudita. Gli aggressori utilizzano una falsa applicazione ChatGPT come esca, installando una backdoor che consente di estrarre i dati sensibili e di accedere da remoto ai dispositivi compromessi. Il malware funge anche da gateway, permettendo l’installazione di altri malware e facilitando ulteriori attacchi all’interno delle reti aziendali.
Come funziona PipeMagic
La backdoor PipeMagic è stata scoperta da Kaspersky nel 2022 in un trojan basato su plugin che colpiva le aziende asiatiche. Questo malware era già noto per la sua capacità di operare sia come backdoor che come gateway. Nel settembre 2024, il team di ricerca di Kaspersky ha osservato una nuova ondata di attacchi legati a PipeMagic, questa volta diretti verso le organizzazioni in Arabia Saudita.
Questa versione utilizza una falsa applicazione ChatGPT, sviluppata con il linguaggio di programmazione Rust. In apparenza, l’applicazione sembra legittima, poiché contiene molte librerie Rust utilizzate anche in molte altre applicazioni basate su Rust. Tuttavia, una volta eseguita, l’app mostra solo una schermata vuota senza alcuna interfaccia visibile e nasconde un file di 105.615 byte di dati crittografati che contiene un payload dannoso.
Schermata vuota visualizzata dall’applicazione falsa
Nella fase successiva, il malware ricerca le principali funzioni API di Windows, individuando gli offset di memoria corrispondenti attraverso un algoritmo di hashing dei nomi. Successivamente, alloca la memoria, carica la backdoor PipeMagic e ne avvia l’esecuzione.
Una delle caratteristiche distintive di PipeMagic è la generazione casuale di un array di 16 byte che crea una “pipe” denominata nel formato \\.\pipe\1.<stringa esadecimale>. Viene creato un thread che genera continuamente questa pipe, legge i dati e la distrugge subito dopo l’utilizzo. Questa pipe serve a ricevere payload codificati e comandi di stop attraverso l’interfaccia locale. PipeMagic opera generalmente con più plugin scaricati da un server di comando e controllo (C2), che in questo caso era ospitato su Microsoft Azure.
I consigli di Kaspersky
Per proteggersi da questi attacchi mirati da parte di attori noti o sconosciuti, Kaspersky consiglia di:
- Fare attenzione quando si scaricano software da Internet, soprattutto se proviene da un sito web di terze parti. Cercare sempre di scaricare il software dal sito ufficiale dell’azienda o del servizio che si utilizza.
- Fornire al proprio team SOC l’accesso alla Threat Intelligence (TI) più recente. Kaspersky Threat Intelligence è un unico punto di accesso per la TI dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
- Aggiornare il proprio team di cybersecurity per affrontare le ultime minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti del GReAT.
- Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
- Oltre ad adottare una protezione essenziale per gli endpoint, implementare una soluzione di sicurezza di tipo aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Dato che molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante prevedere una formazione di sensibilizzazione alla sicurezza e fornire al team le competenze pratiche, per esempio attraverso Kaspersky Automated Security Awareness Platform.
Dichiarazioni
“I cybercriminali evolvono costantemente le loro tecniche per colpire vittime che possono garantire maggiori profitti e contribuire ad ampliare la loro presenza. La recente espansione del trojan PipeMagic dall’Asia all’Arabia Saudita ne è un chiaro esempio. Vista la complessità di questa backdoor, prevediamo un aumento degli attacchi che ne faranno uso”, ha commentato Sergey Lozhkin, Principal Security Researcher del Kaspersky’s GReAT.
