Fausse application de ChatGPT : nouvelle campagne de logiciels malveillants

L’équipe mondiale d’investigation et d’analyse (GReAT) de Kaspersky a identifié une nouvelle campagne malveillante impliquant le troyano PipeMagic. Les utilisateurs utilisent une fausse application de ChatGPT comme suit, en désactivant une porte arrière qui permet l’accès à distance complet aux appareils compromis et l’extraction de données confidentielles. De plus, ce malware est utilisé comme une voie d’entrée pour l’introduction de plus de malwares et le lancement de nouvelles attaques par le biais de l’entreprise rouge.

Kaspersky a détecté pour la première fois la porte d’accès à PipeMagic en 2022, un troyano basé sur des compléments qui s’appliquent aux entités en Asie. Ce malware est capable de fonctionner tant comme porte trasera que via d’accès. En septembre 2024, l’équipe GREAT de Kaspersky a observé une résurgence de PipeMagic, qui a été dirigée par des organisations en Arabie Saoudite.

Cette version utilise une fausse application de ChatGPT, créée avec la langue de programmation Rust. La première vue, semble légitime, est qu’elle contient diverses bibliothèques communales de Rust utilisées dans de nombreuses autres applications basées sur Rust. Sans embargo, lors de son exécution, l’application doit avoir un écran blanc sans interface visible et masquer un ensemble de données cifrados de 105 615 octets qui sont un chargement utile à des fins malveillantes.

Écran blanc affiché par une fausse application de ChatGPT

Deuxième étape, le malware fonctionne comme une API de Windows, localisant les emplacements de mémoire correspondants à l’aide d’un algorithme de hachage de nombres. Ensuite, attribuez de la mémoire, chargez la porte vers PipeMagic, ajustez la configuration nécessaire et exécutez le malware.

Les utilisateurs peuvent utiliser comme suit une fausse application de ChatGPT, désinstaller une porte trace qui extrae des données confidentielles et permettre l’accès à distance complet aux appareils compromis.

L’une des caractéristiques uniques de PipeMagic est qu’elle génère un éventail aléatoire de 16 octets pour créer un tube avec un nom au format .pipe1.. Créez un fil qui génère continuellement ce tuyau, lisez les données du mismo et ensuite le détruire. À cet effet, il est utilisé pour recevoir des charges utiles et des signaux de déplacement à travers l’interface locale prédéfinie. PipeMagic fonctionne généralement avec divers compléments téléchargés par un serveur de commande et de contrôle (C2), qui, dans ce cas, est installé sur Microsoft Azure.

« Les cyberdélinquants évoluent constamment dans leurs stratégies pour rendre les victimes plus prolifiques et étendre leur présence, comme cela nous montre la récente expansion du Troyano PipeMagic d’Asie en Arabie Saoudite. « Das nos capacités, nous espérons voir un renforcement des attaques qui aprovechan esta puerta trasera », commente Sergey Lozhkin, analyste principal de la sécurité chez GREAT de Kaspersky.

Conseils de sécurité

Pour éviter d’être victime d’une attaque dirigée par des acteurs connus ou inconnus, comme dans le cas de l’application fausse de ChatGPT, les analystes de Kaspersky recommandent de mettre en œuvre les méthodes suivantes :

• Tenez compte du téléchargement de logiciels Internet, en particulier s’il s’agit de pages Web tierces. N’hésitez pas à télécharger le logiciel du site Web officiel de l’entreprise ou du service que vous utilisez.
• Proportionnez votre équipe SOC à l’accès aux informations les plus récentes (TI). Kaspersky Threat Intelligence est un point d’accès unique pour l’entreprise TI, fournissant des données et des informations sur les cyberattaques recueillies par Kaspersky pendant plus de 20 ans.
• Améliorez les capacités de votre équipement de cybersécurité pour bénéficier des dernières fonctionnalités dirigées par les cours de formation en ligne de Kaspersky, développés par les experts de GREAT.
• Pour la détection, l’investigation et la résolution des incidents au niveau des points finaux, implémentez les solutions EDR comme Kaspersky Endpoint Detection and Response.
• En outre, pour adopter une protection essentielle pour les points finaux, implémentez une solution de sécurité au niveau de l’entreprise qui détecte les menaces avancées au niveau rouge dans une étape temporaire, comme la Kaspersky Anti Targeted Attack Platform.
• Pour que beaucoup d’attaques dirigées commencent avec des techniques de phishing et d’autres formes d’ingénierie sociale, introduisez un entraînement de conscience en matière de sécurité et enseignez les capacités pratiques de votre équipe, par exemple, en passant par la Kaspersky Automated Security Awareness Platform.