Eksperci projektu BRAMA ostrzegają przed wyjątkowo groźnym złośliwym oprogramowaniem PipeMagic, które rozpowszechniane jest poprzez fałszywe repozytoria na GitHub jako aplikacja ChatGPT, informuje Noweinformacje.pl powołując się na Microsoft Threat Intelligence. Malware działa jako modułowy backdoor i infostealer, umożliwiając kradzież danych systemowych, eskalację uprawnień, wykonywanie dowolnych poleceń i pobieranie kolejnych modułów.
PipeMagic posiada złożoną architekturę. Jego komponenty są przesyłane z serwerów C2, często hostowanych w chmurze Azure. Dane przesyłane są szyfrowanymi kanałami, a moduły przechowywane są w pamięci w formie list dwukierunkowych. Takie rozwiązanie utrudnia wykrycie infekcji i pozwala na dynamiczną aktualizację modułów odpowiedzialnych za komunikację, obróbkę payloadów czy wykonywanie poleceń.
Microsoft potwierdził, że grupa Storm-2460 używa PipeMagic do eksploatacji krytycznej luki Windows CLFS — CVE-2025-29824. Dzięki niej cyberprzestępcy mogą uzyskać uprawnienia SYSTEM i uruchamiać złośliwe procesy. Jednym z narzędzi jest ProcDump, podszywający się pod dllhost.exe, wykorzystywany do zrzutu pamięci LSASS i kradzieży poświadczeń.
Kto stoi za atakami
Za kampanią stoi grupa Storm-2460, wcześniej kojarzona z atakami typu ransomware. Obecnie skupia się ona na długotrwałej obecności w systemach ofiar z wykorzystaniem zaawansowanych backdoorów. Odnotowano ataki w Arabii Saudyjskiej, Brazylii oraz w krajach Europy, co potwierdza globalny charakter działań.
Analitycy BI.ZONE i Kaspersky podkreślają, że PipeMagic szybko ewoluuje. W 2025 roku pojawiły się nowe moduły zwiększające odporność malware i zdolność do lateralnego poruszania się po sieci. Dzięki modularności i wykorzystaniu legalnych infrastruktur chmurowych PipeMagic może pozostawać niewidoczny przez długi czas.
Microsoft rekomenduje natychmiastowe wdrożenie poprawek bezpieczeństwa, w tym dla CVE-2025-29824. Użytkownikom zaleca się aktywację tamper- i network-protection w Microsoft Defender for Endpoint, korzystanie z EDR w trybie blokującym oraz pobieranie aplikacji wyłącznie z oficjalnych źródeł.
Bądź na bieżąco z najnowszymi wiadomościami z Polski i ze świata: codziennie czytaj przydatne i aktualne informacje, takie jak ta: Walka o dane: jak największe korporacje i rządy przejmują Twoje informacje
