Neue Malware entdeckt

Pipemagic-Trojaner tarnt sich als ChatGPT-App

Uhr
von Yannick Züllig und NetzKI Bot und tme

Kaspersky hat eine neue Malware-Kampagne entdeckt, bei der sich der sogenannte Pipemagic-Trojaner als gefälschte ChatGPT-Anwendung tarnt. Die Backdoor ermöglicht den Diebstahl sensibler Daten und bietet vollständigen Fernzugriff auf infizierte Geräte.

(Source: Solen Feyissa / Unsplash.com)
(Source: Solen Feyissa / Unsplash.com)

Die Sicherheitsforscher von Kaspersky haben eine neue Bedrohung aufgedeckt, die sich als ChatGPT-Anwendung tarnt. Der Pipemagic-Trojaner nutzt eine Backdoor, die es Angreifern ermöglicht, sensible Daten zu extrahieren und vollständigen Fernzugriff auf die infizierten Geräte zu erhalten. Diese Malware fungiert zudem als Gateway, um weitere Schadsoftware nachzuladen und so potenziell weitere Angriffe innerhalb von Unternehmensnetzwerken zu starten.

Erstmals wurde die Pipemagic-Backdoor im Jahr 2022 entdeckt, als sie Unternehmen in Asien ins Visier nahm. Die aktuelle Version versteckt sich in einer Anwendung, die in der Programmiersprache Rust entwickelt wurde. Obwohl sie auf den ersten Blick legitim erscheint und gängige Rust-Bibliotheken enthält, zeigt die Anwendung nach dem Start nur einen leeren Bildschirm. Im Hintergrund verbirgt sich jedoch eine verschlüsselte Schadsoftware-Payload von 105'615 Byte.

Nach dem Start der Anwendung durchsucht die Malware den Speicher nach wichtigen Windows-API-Funktionen mithilfe eines Names-Hashing-Algorithmus. Anschliessend weist sie Speicher zu, lädt die Pipemagic-Backdoor, passt die erforderlichen Einstellungen an und führt die Malware aus. Ein einzigartiges Merkmal von Pipemagic ist die Generierung eines 16-Byte-Zufallsarrays zur Erstellung einer "named Pipe" im Format \.\pipe\1.<hex string>. Diese Pipe wird kontinuierlich erstellt, um verschlüsselte Payloads und Stoppsignale über die Standard lokale Schnittstelle zu empfangen.

Pipemagic arbeitet in der Regel mit mehreren Plugins, die von einem Command-and-Control-Server heruntergeladen werden. In diesem Fall wurde der Server auf Microsoft Azure gehostet. "Cyberkriminelle entwickeln ihre Strategien ständig weiter, um mehr Opfer zu erreichen und ihre Präsenz auszuweiten", erklärt Sergey Lozhkin, Principal Security Researcher im Global Research & Analysis Team bei Kaspersky. "Angesichts der Fähigkeiten erwarten wir eine Zunahme von Angriffen, die diese Backdoor ausnutzen."

Kaspersky empfiehlt, Software nur aus offiziellen Quellen herunterzuladen und das SOC-Team stets mit aktuellen Bedrohungsdaten zu versorgen. Zudem sollten Unternehmen EDR-Lösungen implementieren und ihre Cybersicherheitsteams kontinuierlich weiterbilden, um sich gegen solche Bedrohungen zu wappnen.

 

Lesen Sie auch: Was ChatGPT für die Cyber Security bedeutet.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
ueNjxqX2