Lažna ChatGPT aplikacija širi PipeMagic malver i ransomware

Microsoft je izdao upozorenje zbog lažne verzije ChatGPT desktop aplikacije koja se koristi za distribuciju opasnog malvera poznatog kao PipeMagic. Ovaj bekdor je povezan s kampanjama iznuđivačkog softvera (ransomware) koje iskorištavaju Windows ranjivost nultog dana (CVE-2025-29824).

 

Lažna aplikacija kao maska za napad

 

Tokom istrage napada koji su ciljali Windows CLFS zero-day ranjivost, istraživači iz Microsofta otkrili su malver PipeMagic. Posebno je opasan jer se predstavlja kao legitimna open-source ChatGPT desktop aplikacija, dok u pozadini omogućava pokretanje ransomware napada.

Važno je napomenuti da originalni open-source projekat na GitHubu nije kompromitovan. Napadači su iskoristili činjenicu da je aplikacija otvorenog koda i ubacili skriveni maliciozni kod u izmijenjenu verziju. Dakle, zvanična aplikacija je i dalje bezbjedna, ali preuzimanje sa nezvaničnih ili kompromitovanih sajtova nosi veliki rizik.

 

Kako funkcioniše PipeMagic

 

PipeMagic koristi modularnu arhitekturu, što znači da napadači mogu učitavati različite komponente po potrebi. Na taj način, otkrivanje i analiza malvera postaju mnogo složeniji. Njegovi moduli omogućavaju:

• komunikaciju sa komandno-kontrolnim (C2) serverom,
• izvršavanje štetnog koda,
• rad isključivo u memoriji kako bi se izbjegli tragovi na sistemu.

Ovakav dizajn daje napadačima fleksibilnost da dodaju nove module, ažuriraju postojeće ili u potpunosti uklone malver.

 

Storm-2460 iza PipeMagica

 

Microsoft PipeMagic povezuje sa Storm-2460, hakerskom grupom poznatom po finansijski motivisanim napadima. U posljednjim kampanjama kombinovali su ovaj malver sa ranjivošću CVE-2025-29824 kako bi dobili viši nivo privilegija i na kraju instalirali ransomware.

Napadi nisu bili ograničeni na jednu oblast – pogođene su finansijske i nekretninske kompanije u SAD-u, Evropi, Južnoj Americi i na Bliskom Istoku.

 

Napredne tehnike izbjegavanja otkrivanja

 

Za razliku od klasičnih malvera, PipeMagic ne uspostavlja direktnu vezu sa svojim serverima. Umjesto toga koristi poseban komunikacioni modul koji otvara odvojeni mrežni kanal. Preko njega prikuplja detaljne informacije o sistemu i prima komande napadača, što dodatno otežava otkrivanje.

PipeMagic može da krade lozinke, izvršava proizvoljne komande, ubacuje nove payload-ove, pa čak i da se sam obriše. Kombinacija zero-day ranjivosti i modularnog dizajna pokazuje koliko savremeni malver može biti sofisticiran i sposoban da zaobiđe klasične bezbjednosne zaštite.