Zum Hauptinhalt springen

PipeMagic-Backdoor tarnt sich als ChatGPT-Anwendung

10. Oktober 2024

Malware fungiert als Gateway, so dass sie weitere Malware nachladen kann

Die Experten von Kaspersky haben eine neue schädliche Kampagne mit dem PipeMagic-Trojaner entdeckt, der sich in einer gefälschten ChatGPT-Anwendung versteckt. Dabei kommt eine Backdoor zum Einsatz, die sowohl vertrauliche Daten extrahieren kann als auch vollständigen Fernzugriff auf infizierte Geräte bietet. Weiterhin fungiert die Malware als Gateway, so dass sie weitere Malware nachladen kann und damit den Start weiterer Angriffe im Unternehmensnetzwerk ermöglicht.

Kaspersky entdeckte die PipeMagic-Backdoor erstmalig im Jahr 2022; damals hatte es die Malware auf Unternehmen in Asien abgesehen. Die aktuelle Version versteckt sich nun in einer gefälschten ChatGPT-Anwendung, die in der Programmiersprache Rust erstellt wurde. Diese Backdoor erscheint zunächst legitim und enthält mehrere gängige Rust-Bibliotheken, die auch in anderen Rust-basierten Anwendungen verwendet werden. Wird die Anwendung jedoch ausgeführt, zeigt sie einen leeren Bildschirm ohne sichtbare Nutzeroberfläche an – dabei versteckt sie 105.615 Byte verschlüsselter Daten, bei denen es sich um die schädliche Payload handelt.

Nachdem die Anwendung gestartet wurde, sucht die Malware nach wichtigen Windows-API-Funktionen. Hierfür durchforstet sie die entsprechenden Speicher mithilfe eines Names-Hashing-Algorithmus. Anschließend weist sie Speicher zu, lädt die PipeMagic-Backdoor, passt die erforderlichen Einstellungen an und führt die Malware aus. Eines der einzigartigen Merkmale von PipeMagic ist, dass es ein 16-Byte-Zufallsarray generiert, um eine named Pipe im Format \\.\pipe\1.<hex string> zu erstellen. Es erzeugt einen Prozess, der kontinuierlich diese Pipe erstellt, Daten daraus liest und sie wieder schließt. Die Pipe wird zum Empfang verschlüsselter Payloads und Stoppsignale über die standard lokale Schnittstelle verwendet. PipeMagic funktioniert normalerweise mit mehreren Plugins, die von einem Command-and-Control-Server (C2) heruntergeladen werden, der in diesem Fall auf Microsoft Azure gehostet wurde.

„Cyberkriminelle entwickeln ihre Strategien ständig weiter, um mehr Opfer zu erreichen und ihre Präsenz auszuweiten, wie die jüngsten Angriffe des PipeMagic-Trojaners zeigen. Angesichts der Fähigkeiten erwarten wir eine Zunahme von Angriffen, die diese Backdoor ausnutzen“, so Sergey Lozhkin, Principal Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky.

Kaspersky-Empfehlungen zum Schutz vor Backdoors

  • Software nur aus offiziellen Quellen herunterladen.
  • Das SOC-Team sollte stets Zugriff auf aktuelle Bedrohungsdaten haben. Kaspersky Threat Intelligence [1] stellt umfassende Daten und Erkenntnisse zu Cyberangriffen bereit.
  • Das Cybersicherheitsteam sollte stets weitergebildet werden, um aktuelle, zielgerichtete Bedrohungen erkennen und bekämpfen zu können. Kaspersky Expert Training [2] bietet dedizierte Kurse von Experten für Experten.
  • EDR-Lösungen wie Kaspersky Endpoint Detection and Response [3] implementieren, um Vorfälle auf Endpunktebene frühzeitig erkennen, untersuchen und beheben zu können.
  • Eine Sicherheitslösung auf Unternehmensebene nutzen, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt, wie beispielsweise Kaspersky Anti Targeted Attack Platform [4].
  • Alle Mitarbeiter regelmäßig in Bezug auf Cybersicherheit schulen; Kaspersky Automated Security Awareness Platform [5] bietet individuelle Lerneinheiten, die sich am Wissensstand der Mitarbeiter orientieren.

 

[1] https://www.kaspersky.de/enterprise-security/threat-intelligence

[2] https://xtraining.kaspersky.com/

[3] https://www.kaspersky.com/enterprise-security/wiki-section/products/kaspersky-endpoint-detection-and-response-edr

[4] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

[5] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform


Nützliche Links:

PipeMagic-Backdoor tarnt sich als ChatGPT-Anwendung

Malware fungiert als Gateway, so dass sie weitere Malware nachladen kann
Kaspersky logo

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Der Cybersicherheitsanbieter schützt über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter kaspersky.de.

Verwandter Artikel Pressemitteilungen