Die Cybersecurity-Firma Kaspersky hat kürzlich einen Untersuchungsbericht veröffentlicht, der aufdeckt, wie Cyberkriminelle eine gefälschte ChatGPT-Anwendung nutzen, um Backdoor-Angriffe durchzuführen und Malware zu verbreiten. Besorgniserregend ist, dass sich die Ziele dieser Angreifer von Asien im Jahr 2022 auf Saudi-Arabien im Jahr 2024 verlagert haben, was auf eine stetige Weiterentwicklung ihrer Angriffsstrategien hindeutet.
Bildquelle: Das Bild wurde mit KI generiert, Bildrechte liegen bei Midjourney.
Kasperskys Untersuchung zeigt, dass diese bösartige Aktivität den Trojaner PipeMagic beinhaltet. PipeMagic ist ein pluginbasierter Trojaner, der als „Gateway“ für Angriffe dient und tief in Unternehmensnetzwerke eindringen kann. Sergey Lozhkin, Sicherheitsforscher bei Kaspersky, erklärte, dass Cyberkriminelle ihre Strategien ständig weiterentwickeln, um mehr Opfer zu gewinnen und ihren Einflussbereich zu erweitern. „Mit der Ausweitung des PipeMagic-Trojaners von Asien nach Saudi-Arabien erwarten wir eine Zunahme von Angriffen, die diesen Backdoor nutzen.“
Eine Besonderheit von PipeMagic ist seine Fähigkeit, ein zufälliges 16-Byte-Array zu generieren, um benannte Pipes zu erstellen, im Format \\.\pipe\1.<hexadezimale Zeichenkette>. Es erzeugt einen Thread, der ständig diese Pipe erstellt, Daten liest und sie schließlich zerstört. Diese Pipe dient zum Empfangen von codierten Nutzlasten und Stoppsignalen. PipeMagic arbeitet üblicherweise mit mehreren Plugins zusammen, die von einem Command-and-Control-(C2-)Server heruntergeladen werden. In diesem Fall wurde der C2-Server auf der Microsoft Azure-Plattform gehostet.
Auf technischer Ebene erklärt Kaspersky, wie die gefälschte ChatGPT-Anwendung aufgebaut ist. Sie wurde in der Programmiersprache Rust entwickelt und arbeitet in Phasen. Auf den ersten Blick scheint die Anwendung legitim zu sein und enthält viele Bibliotheken, die auch in anderen Rust-Anwendungen üblich sind. Bei der Ausführung der Anwendung wird jedoch nur ein leerer Bildschirm angezeigt, ohne sichtbare Benutzeroberfläche. Versteckt ist jedoch ein verschlüsseltes Datenarray von 105.615 Byte – die schädliche Nutzlast.
Sobald die Malware bereitgestellt ist, beginnt sie mit der Suche nach wichtigen Windows-API-Funktionen. Dies geschieht über die entsprechenden Speicherverschiebungen mithilfe eines Namens-Hash-Algorithmus. Anschließend wird Speicherplatz zugewiesen, das PipeMagic-Backdoor geladen, die notwendigen Einstellungen angepasst und schließlich die Malware ausgeführt.
Wichtigste Punkte:
- 🦠 Kaspersky entdeckt Hacker, die eine gefälschte ChatGPT-Anwendung zur Verbreitung des PipeMagic-Trojaners verwenden.
- 🌍 Die Angriffsziele verlagern sich von Asien im Jahr 2022 nach Saudi-Arabien im Jahr 2024, was eine Eskalation der Strategien von Cyberkriminellen zeigt.
- 🔍 PipeMagic nutzt benannte Pipes und Plugin-Technologie, um tief in Unternehmensnetzwerke einzudringen und schädliche Angriffe durchzuführen.