Fałszywa aplikacja ChatGPT na komputery stacjonarne dostarczająca tylne drzwi PipeMagic, Microsoft

Microsoft ostrzega, że fałszywa aplikacja ChatGPT na komputery stacjonarne była wykorzystywana do rozprzestrzeniania złośliwego oprogramowania PipeMagic, powiązanego z atakami ransomware wykorzystującymi lukę typu zero-day w systemie Windows.

Badacze cyberbezpieczeństwa z Microsoftu odkryli nowy backdoor o nazwie PipeMagic podczas badania ataków wykorzystujących lukę typu zero-day w systemie Windows CLFS (CVE-2025-29824). To, co czyni ten backdoor niebezpiecznym, to fakt, że podszywa się pod legalną aplikację ChatGPT (open source), jednocześnie zapewniając środowisko do przeprowadzania operacji ransomware.

PipeMagic opiera się na modułowej konstrukcji, która ładuje różne komponenty w zależności od potrzeb. Moduły te obsługują wszystko, od komunikacji typu command-and-control po wykonywanie danych, pozostając jednocześnie ukryte dzięki szyfrowanym potokom nazwanym i operacjom w pamięci. Rozdzielenie funkcji w ten sposób znacznie utrudnia obrońcom wykrycie i analizę backdoora.

Warto zauważyć, że projekt ChatGPT Desktop na GitHubie, o którym wspomina Microsoft ( dostępny tutaj ), nie jest złośliwy. Atakujący wykorzystali zmodyfikowaną, trojańską kopię tej aplikacji, ponieważ jest ona open source, z ukrytym kodem, aby dostarczyć backdoora PipeMagic. Legalna wersja pozostaje bezpieczna, ale pobieranie jej z nieoficjalnych lub zainfekowanych stron internetowych niesie ze sobą ryzyko infekcji.

„Pierwszy etap infekcji PipeMagic rozpoczyna się od złośliwego droppera w pamięci, podszywającego się pod projekt ChatGPT Desktop Application o otwartym kodzie źródłowym. Atakujący wykorzystuje zmodyfikowaną wersję projektu GitHub, która zawiera złośliwy kod, aby odszyfrować i uruchomić osadzony w pamięci ładunek”.

Microsoft

Microsoft przypisuje atak PipeMagic grupie o nazwie Storm-2460, motywowanej finansowo. W ostatnich kampaniach grupa wykorzystywała go wraz z luką CVE-2025-29824 , umożliwiającą eskalację uprawnień, aby przejść od początkowego dostępu do wdrażania oprogramowania ransomware.

Ataki nie ograniczały się do jednej branży lub regionu; zidentyfikowano ofiary, których celem były organizacje finansowe i zajmujące się nieruchomościami w Stanach Zjednoczonych, Europie, Ameryce Południowej i na Bliskim Wschodzie.

Badacze badający PipeMagic odkryli, że zarządza on ładunkami za pomocą zestawu powiązanych list, które działają jak kolejki wewnętrzne. Niektóre listy przechowują moduły oczekujące na wykonanie, inne zarządzają komunikacją sieciową, a jedna lista pozostaje niewyjaśniona, ale wydaje się być dynamicznie używana przez załadowane ładunki. Taka struktura pozwala Storm-2460 na aktualizowanie lub zastępowanie komponentów w locie, zapewniając im elastyczność bez konieczności ponownego wdrażania całego backdoora.

Według obszernego wpisu technicznego Microsoftu na blogu , warstwa komunikacyjna PipeMagic jest równie zaawansowana. Zamiast łączyć się bezpośrednio z serwerem poleceń, backdoor ładuje dedykowany moduł sieciowy, który nawiązuje połączenie w stylu WebSocket ze swoimi operatorami.

Taka konstrukcja izoluje ruch sieciowy od reszty backdoora, ograniczając możliwości wykrycia. Po aktywacji bezpiecznego kanału, PipeMagic wysyła szczegółowe informacje o systemie, w tym identyfikator bota, szczegóły domeny, integralność procesu i kontekst użytkownika, a następnie otrzymuje instrukcje dotyczące tego, które moduły uruchomić lub jakie dane wykraść.

Storm-2460 może również dodawać nowe moduły, aktualizować istniejące, zbierać skróty, enumerować procesy, a nawet zmieniać nazwę pliku wykonywalnego backdoora w celu jego samoczynnego usunięcia. W związku z tym Microsoft udostępnił mechanizmy wykrywania dla wszystkich produktów Microsoft Defender i apeluje do organizacji o weryfikację zabezpieczeń.

PipeMagic pokazuje, jak daleko rozwinęły się backdoory. Wykorzystując lukę typu zero-day z modułowym backdoorem, Storm-2460 stworzył narzędzie, które z łatwością omija wykrycie. Pełna analiza firmy Microsoft zagłębia się w jego wewnętrzne struktury i oferuje wskazówki dotyczące minimalizacji ryzyka.