{"id":31701,"date":"2024-10-10T09:11:58","date_gmt":"2024-10-10T07:11:58","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31701"},"modified":"2024-10-10T09:11:58","modified_gmt":"2024-10-10T07:11:58","slug":"pipemagic-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/pipemagic-backdoor\/31701\/","title":{"rendered":"PipeMagic-Backdoor tarnt sich als ChatGPT-Anwendung"},"content":{"rendered":"

Unsere Experten haben eine neue sch\u00e4dliche Kampagne mit dem PipeMagic-Trojaner<\/strong> entdeckt, der sich in einer gef\u00e4lschten ChatGPT-Anwendung versteckt. Dabei kommt eine Backdoor zum Einsatz, die sowohl vertrauliche Daten extrahieren kann als auch vollst\u00e4ndigen Fernzugriff auf infizierte Ger\u00e4te bietet. Weiterhin fungiert die Malware als Gateway, so dass sie weitere Malware nachladen kann und damit den Start weiterer Angriffe im Unternehmensnetzwerk erm\u00f6glicht.<\/p>\n

Kaspersky entdeckte die PipeMagic-Backdoor<\/strong> erstmalig im Jahr 2022; damals hatte es die Malware auf Unternehmen in Asien abgesehen. Die aktuelle Version versteckt sich nun in einer gef\u00e4lschten ChatGPT-Anwendung, die in der Programmiersprache Rust erstellt wurde. Diese Backdoor erscheint zun\u00e4chst legitim und enth\u00e4lt mehrere g\u00e4ngige Rust-Bibliotheken, die auch in anderen Rust-basierten Anwendungen verwendet werden. Wird die Anwendung jedoch ausgef\u00fchrt, zeigt sie einen leeren Bildschirm ohne sichtbare Nutzeroberfl\u00e4che an \u2013 dabei versteckt sie 105.615 Byte verschl\u00fcsselter Daten, bei denen es sich um die sch\u00e4dliche Payload handelt.<\/p>\n

Nachdem die Anwendung gestartet wurde, sucht die Malware nach wichtigen Windows-API-Funktionen. Hierf\u00fcr durchforstet sie die entsprechenden Speicher mithilfe eines Names-Hashing-Algorithmus. Anschlie\u00dfend weist sie Speicher zu, l\u00e4dt die PipeMagic-Backdoor<\/strong>, passt die erforderlichen Einstellungen an und f\u00fchrt die Malware aus. Eines der einzigartigen Merkmale von PipeMagic<\/strong> ist, dass es ein 16-Byte-Zufallsarray generiert, um eine named Pipe im Format \\\\.\\pipe\\1.<\/strong> zu erstellen. Es erzeugt einen Prozess, der kontinuierlich diese Pipe erstellt, Daten daraus liest und sie wieder schlie\u00dft. Die Pipe wird zum Empfang verschl\u00fcsselter Payloads und Stoppsignale \u00fcber die standard lokale Schnittstelle verwendet. PipeMagic<\/strong> funktioniert normalerweise mit mehreren Plugins, die von einem Command-and-Control-Server (C2) heruntergeladen werden, der in diesem Fall auf Microsoft Azure gehostet wurde.<\/p>\n

\u201eCyberkriminelle entwickeln ihre Strategien st\u00e4ndig weiter, um mehr Opfer zu erreichen und ihre Pr\u00e4senz auszuweiten, wie die j\u00fcngsten Angriffe des PipeMagic-Trojaners zeigen. Angesichts der F\u00e4higkeiten erwarten wir eine Zunahme von Angriffen, die diese Backdoor ausnutzen<\/em>\u201e, so Sergey Lozhkin, Principal Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky.<\/p>\n

Kaspersky-Empfehlungen zum Schutz vor Backdoors<\/strong><\/p>\n