Le cheval de Troie de porte dérobée PipeMagic pénètre dans le réseau de l'entreprise via une fausse application ChatGPT. Grâce à lui, les pirates peuvent à la fois extraire des données confidentielles et obtenir un accès à distance complet aux appareils infectés. Le logiciel malveillant peut également télécharger des logiciels malveillants supplémentaires.
Kaspersky a découvert pour la première fois la porte dérobée PipeMagic en 2022 ; À cette époque, le malware ciblait des entreprises en Asie. La version actuelle est désormais cachée dans une fausse application ChatGPT créée dans le langage de programmation Rust. Cette porte dérobée semble initialement légitime et contient plusieurs bibliothèques Rust courantes qui sont également utilisées dans d'autres applications basées sur Rust. Cependant, lorsque l'application s'exécute, elle affiche un écran vide sans interface utilisateur visible, cachant 105.615 XNUMX octets de données cryptées qui constituent la charge utile malveillante.
La porte dérobée PipeMagic crée un canal et lit les données
Une fois l'application lancée, le malware recherche les fonctions importantes de l'API Windows. Pour ce faire, il recherche les mémoires correspondantes à l'aide d'un algorithme de hachage de noms. Il alloue ensuite de la mémoire, charge la porte dérobée PipeMagic, ajuste les paramètres nécessaires et exécute le malware. L'une des caractéristiques uniques de PipeMagic est qu'il génère un tableau aléatoire de 16 octets pour créer un canal nommé au format \\.\pipe\1. créer. Il crée un processus qui crée continuellement ce canal, en lit les données et le referme. Le canal est utilisé pour recevoir des charges utiles cryptées et des signaux d'arrêt via l'interface locale standard. PipeMagic fonctionne généralement avec plusieurs plugins téléchargés à partir d'un serveur de commande et de contrôle (C2), qui dans ce cas était hébergé sur Microsoft Azure.
« Les cybercriminels font constamment évoluer leurs stratégies pour atteindre davantage de victimes et étendre leur présence, comme le démontrent les récentes attaques du cheval de Troie PipeMagic. Compte tenu de ses capacités, nous nous attendons à une augmentation des attaques exploitant cette porte dérobée », a déclaré Sergey Lozhkin, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) chez Kaspersky.
Recommandations de Kaspersky pour la protection contre les portes dérobées
- Téléchargez des logiciels uniquement à partir de sources officielles.
- L’équipe SOC doit toujours avoir accès aux informations actuelles sur les menaces. Kaspersky Threat Intelligence fournit des données et des informations complètes sur les cyberattaques.
- L’équipe de cybersécurité doit continuer à être formée pour identifier et combattre les menaces ciblées actuelles. Kaspersky Expert Training propose des cours dédiés dispensés par des experts pour des experts.
- Mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response pour détecter, enquêter et résoudre rapidement les incidents au niveau des points de terminaison.
- Tirez parti d'une solution de sécurité de niveau entreprise qui détecte rapidement les menaces avancées au niveau du réseau, telle que Kaspersky Anti Targeted Attack Platform.
- Former régulièrement tous les collaborateurs à la cybersécurité ; Kaspersky Automated Security Awareness Platform propose des unités de formation individuelles basées sur le niveau de connaissances des employés.
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/