Se ha identificado una sofisticada campaña de malware, utilizando Pipemagic, una puerta trasera altamente modular desplegada por el actor de amenazas con motivación financiera Storm-2460.
Este malware avanzado se disfraza de una aplicación legítima de escritorio ChatGPT de código abierto mientras explota la vulnerabilidad de día cero CVE-2025-29824 en el sistema de archivos de registro común de Windows (CLFS) para implementar ransomware en múltiples sectores a nivel mundial.
Control de llave
1. Pipemagic Masquerades como la aplicación de escritorio ChatGPT mientras explota un día cero de Windows.
2. Cuenta con un diseño modular con comunicación de tuberías con nombre cifrado y carga de carga útil dinámica para evadir la detección.
3. Storm-2460 se dirige a los sectores financiero y de bienes raíces en todo el mundo.
El actor de amenazas aprovecha una versión troyanizada de la popular aplicación de escritorio ChatGPT disponible en GitHub, utilizándola como mecanismo de entrega para la puerta trasera pipemágica.
Este enfoque engañoso permite que el malware omita la sospecha inicial del usuario mientras establece el acceso persistente a los sistemas comprometidos.
Los objetivos observados abarcan la tecnología de la información, los sectores financieros y de bienes raíces en los Estados Unidos, Europa, América del Sur y Oriente Medio, lo que demuestra el amplio alcance geográfico de la campaña y el impacto en la industria cruzada.
Puerta trasera modular pipemagic
Microsoft informes que el Pipemagic emplea una secuencia de infección compleja que comienza con un archivo MSBuild malicioso descargado a través de la utilidad Certutil de sitios web legítimos comprometidos.
La etapa inicial presenta una gotera en memoria disfrazada de la aplicación ChatGPT legítima, que descifra y inicia la carga útil Pipemagic integrada directamente en la memoria para evadir la detección.
El malware genera un identificador de bot de 16 bytes único para cada host infectado y establece una tubería con nombre utilizando el formato \\. \ Pipe \ 1. para entrega de carga útil.
Generación de ID de bot
Este canal de comunicación bidireccional permite la implementación continua del módulo mientras mantiene el sigilo.
El sistema utiliza el cifrado RC4 con una clave codificada de 32 bytes y realiza la validación de hash SHA-1 para garantizar la integridad de la carga útil durante la transmisión.
La sofisticación técnica de Pipemagic radica en el uso de cuatro estructuras de lista doblemente vinculadas distintas: carga útil, ejecución, red y listas desconocidas, cada una de las cuales sirve funciones específicas dentro de la arquitectura de la puerta trasera.
Popular módulo de carga útil con datos de tuberías
El malware mantiene la comunicación persistente de comando y control (C2) a través de un módulo de red dedicado que maneja las conexiones TCP al dominio aaaaabbbbbbbb.eastus.cloudapp.azure (.) Com: 443, que Microsoft ha desactivado posteriormente.
La puerta trasera admite más de 20 comandos operativos diferentes, incluido el reconocimiento del sistema, la gestión de módulos, la enumeración del proceso y la ejecución de la carga útil.
Las capacidades críticas incluyen el código de puerta trasera 0xf para la autoselección y 0x11 para el reemplazo del módulo, lo que permite la adaptación operativa dinámica.
El malware recopila información integral del sistema, incluida la versión del sistema operativo, la membresía de dominio, los niveles de integridad y la configuración de la red, antes de transmitir datos a los servidores C2.
Mitigaciones
Microsoft recomienda habilitar la protección de la manipulación y la protección de la red en el defensor para el punto final, junto con la implementación de EDR en modo de bloque para la remediación de artefactos posteriores a la violación.
Las organizaciones deben priorizar los parches de implementación para CVE-2025-29824 y utilizar la protección entregada en la nube para defenderse de las variantes de ataque en rápida evolución.
Microsoft Defender XDR proporciona detecciones específicas para variantes Pipemagic, incluidas alertas para procesos de malware activos y actividades de grupo de amenazas vinculadas al ransomware.
La campaña destaca la importancia crítica de mantener los controles de seguridad actualizados y el monitoreo de comunicaciones de tuberías con nombre sospechoso y un comportamiento inusual de la aplicación CHATGPT en entornos empresariales.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
.webp?w=1600&resize=1600,900&ssl=1){kind=link}