Tim za globalno istraživanje i analizu (GReAT) kompanije Kaspersky je nedavno otkrio novu
zlonamernu kampanju koja uključuje trojanac PipeMagic koja targetira kompanije. Napadači
koriste lažnu ChatGPT aplikaciju kao mamac, postavljajući bekdor koji izvlači osetljive podatke i
omogućava potpun daljinski pristup kompromitovanim uređajima. Malver takođe funkcioniše kao
ulazna tačka, omogućavajući uvođenje dodatnog malvera i pokretanje daljih napada širom
korporativne mreže.
Kompanija Kaspersky je prvobitno otkrila PipeMagic bekdor u malveru iz 2022. godine, tj. trojancu
zasnovanom na plaginu koji targetira entitete u Aziji. Ovaj malver može da funkcioniše i kao bekdor i kao
ulazna tačka za druge malvere. U septembru 2024. godine, GReAT tim kompanije Kaspersky je primetio
povratak PipeMagic-a, ovog puta usmerenog na organizacije u Saudijskoj Arabiji.
Ova verzija je koristila lažnu ChatGPT aplikaciju, napravljenu pomoću programskog jezika Rust. Na prvi
pogled deluje legitimno, sadrži nekoliko uobičajenih Rust biblioteka koje se koriste u mnogim drugim
aplikacijama zasnovanim na tom programskom jeziku. Međutim, kada se aktivira, aplikacija prikazuje
prazan ekran bez vidljivog interfejsa i sakriva niz od 105.615 bajta enkriptovanih podataka koji su
zlonamerni.
U drugoj fazi, malver pretražuje ključne funkcije Windows API-ja tako što pretražuje odgovarajuća
odstupanja memorije koristeći algoritam za heširanje imena. Zatim dodeljuje memoriju, učitava PipeMagic
bekdor, prilagođava neophodna podešavanja i pokreće malver.
„Sajber kriminalci konstantno razvijaju svoje strategije kako bi došli do bogatijih žrtava i proširili svoje
prisustvo, kao što pokazuje nedavna ekspanzija trojanca PipeMagic iz Azije u Saudijsku Arabiju. Imajući
u vidu njegove mogućnosti, očekujemo povećanje napada koji koriste ovaj bekdor“, komentariše Sergej
Ložkin, glavni istraživač bezbednosti u GreAT timu kompanije Kaspersky.
Kako ne biste postali žrtva ciljanog napada poznatog ili nepoznatog aktera pretnje, istraživači kompanije
Kaspersky preporučuju sprovođenje sledećih mera:
Budite oprezni kada preuzimate softver sa interneta, posebno ako je sa veb lokacije treće strane.
Uvek pokušajte da preuzmete softver sa zvanične veb stranice kompanije ili usluge koju koristite.
Omogućite svom SOC timu pristup najnovijim obaveštajnim podacima o pretnjama
(TI). Kaspersky Threat Intelligence je jedinstvena tačka pristupa za informacije o pretnjama koja
kompaniji pruža podatke o sajber napadima i uvide koje je prikupila kompanija Kaspersky u
periodu od 20 godina.
Osposobite svoj tim za sajber bezbednost da se uhvati u koštac sa najnovijim ciljanim pretnjama
uz pomoć Kaspersky onlajn treninga koji su razvili stručnjaci GREAT tima.
Za otkrivanje na nivou krajnje tačke, istragu i blagovremeno otklanjanje incidenata,
implementirajte EDR rešenja kao što je Kaspersky Endpoint Detection and Response.
Pored usvajanja osnovne zaštite krajnjih tačaka, implementirajte bezbednosno rešenje
korporativnog nivoa koje detektuje napredne pretnje na nivou mreže u ranoj fazi, kao što je
Kaspersky Anti Targeted Attack Platform.
Kako mnogi ciljani napadi počinju sa fišingom ili drugim tehnikama društvenog inženjeringa,
uvedite obuku o svesti o bezbednosti i podučite svoj tim praktičnim veštinama – na primer,
kroz Kaspersky Automated Security Awareness Platform.