У троянца PipeMagic, впервые замеченного в атаках на азиатские компании в 2022 году, появились новые цели ― организации в Саудовской Аравии. Это обнаружили эксперты Kaspersky GReAT в сентябре 2024 года. Бэкдор, который умеет красть конфиденциальные данные и осуществлять удалённый доступ к скомпрометированным устройствам, проникает в корпоративные системы под видом приложения ChatGPT.
В этой волне использовалось поддельное приложение ChatGPT, написанное на языке программирования Rust. На первый взгляд оно кажется легитимным, содержащим несколько рядовых библиотек Rust, которые используются во многих приложениях, написанных на этом языке. Однако, если открыть приложение, появится пустой экран. За ним скрывается массив зашифрованных данных размером 105 615 байт, в котором и содержится вредоносное ПО. Оно ищет ключевые функции Windows API путём поиска соответствующих смещений в памяти с помощью алгоритма хэширования имён, а затем загружает бэкдор, настраивает необходимые параметры и запускает его.
«Злоумышленники постоянно совершенствуют свои стратегии, чтобы атаковать более крупные жертвы, и расширяют своё присутствие. Примером этого стала кампания PipeMagic, в которой действие троянца было расширено от Азии до Саудовской Аравии. Мы ожидаем, что число кибератак с использованием этого бэкдора будет расти», ― комментирует Сергей Ложкин, ведущий эксперт GReAT.
Чтобы избежать целевых атак известных и неизвестных кибергрупп, эксперты «Лаборатории Касперского» рекомендуют:
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.