Tim za globalno istraživanje i analizu (GReAT) kompanije Kaspersky je nedavno otkrio novu zlonamernu kampanju koja uključuje trojanac PipeMagic koja targetira kompanije. Napadači koriste lažnu ChatGPT aplikaciju kao mamac, postavljajući bekdor koji izvlači osetljive podatke i omogućava potpun daljinski pristup kompromitovanim uređajima. Malver takođe funkcioniše kao ulazna tačka, omogućavajući uvođenje dodatnog malvera i pokretanje daljih napada širom korporativne mreže.
Kompanija Kaspersky je prvobitno otkrila PipeMagic bekdor u malveru iz 2022. godine, tj. trojancu zasnovanom na plaginu koji targetira entitete u Aziji. Ovaj malver može da funkcioniše i kao bekdor i kao ulazna tačka za druge malvere. U septembru 2024. godine, GReAT tim kompanije Kaspersky je primetio povratak PipeMagic-a, ovog puta usmerenog na organizacije u Saudijskoj Arabiji.
Ova verzija je koristila lažnu ChatGPT aplikaciju, napravljenu pomoću programskog jezika Rust. Na prvi pogled deluje legitimno, sadrži nekoliko uobičajenih Rust biblioteka koje se koriste u mnogim drugim aplikacijama zasnovanim na tom programskom jeziku. Međutim, kada se aktivira, aplikacija prikazuje prazan ekran bez vidljivog interfejsa i sakriva niz od 105.615 bajta enkriptovanih podataka koji su zlonamerni.
U drugoj fazi, malver pretražuje ključne funkcije Windows API-ja tako što pretražuje odgovarajuća odstupanja memorije koristeći algoritam za heširanje imena. Zatim dodeljuje memoriju, učitava PipeMagic bekdor, prilagođava neophodna podešavanja i pokreće malver.
„Sajber kriminalci konstantno razvijaju svoje strategije kako bi došli do bogatijih žrtava i proširili svoje prisustvo, kao što pokazuje nedavna ekspanzija trojanca PipeMagic iz Azije u Saudijsku Arabiju. Imajući u vidu njegove mogućnosti, očekujemo povećanje napada koji koriste ovaj bekdor“, komentariše Sergej Ložkin, glavni istraživač bezbednosti u GreAT timu kompanije Kaspersky.
Da biste stekli ekskluzivan uvid u najnovije APT kampanje i nove trendove u svetu pretnji, registrujte se za SAS samit bezbednosnih analitičara ovde.
Kako ne biste postali žrtva ciljanog napada poznatog ili nepoznatog aktera pretnje, istraživači kompanije Kaspersky preporučuju sprovođenje sledećih mera:
- Budite oprezni kada preuzimate softver sa interneta, posebno ako je sa veb lokacije treće strane. Uvek pokušajte da preuzmete softver sa zvanične veb stranice kompanije ili usluge koju koristite.
- Omogućite svom SOC timu pristup najnovijim obaveštajnim podacima o pretnjama (TI). Kaspersky Threat Intelligence je jedinstvena tačka pristupa za informacije o pretnjama koja kompaniji pruža podatke o sajber napadima i uvide koje je prikupila kompanija Kaspersky u periodu od 20 godina.
- Osposobite svoj tim za sajber bezbednost da se uhvati u koštac sa najnovijim ciljanim pretnjama uz pomoć Kaspersky onlajn treninga koji su razvili stručnjaci GREAT tima.
- Za otkrivanje na nivou krajnje tačke, istragu i blagovremeno otklanjanje incidenata, implementirajte EDR rešenja kao što je Kaspersky Endpoint Detection and Response.
- Pored usvajanja osnovne zaštite krajnjih tačaka, implementirajte bezbednosno rešenje korporativnog nivoa koje detektuje napredne pretnje na nivou mreže u ranoj fazi, kao što je Kaspersky Anti Targeted Attack Platform.
- Kako mnogi ciljani napadi počinju sa fišingom ili drugim tehnikama društvenog inženjeringa, uvedite obuku o svesti o bezbednosti i podučite svoj tim praktičnim veštinama – na primer, kroz Kaspersky Automated Security Awareness Platform.