近日,网络安全公司 Kaspersky 发布了一项调查报告,揭露了网络犯罪分子如何利用一个假冒的 ChatGPT 应用程序来实施后门攻击和传播恶意软件。令人关注的是,这些攻击者的目标从2022年的亚洲转向了2024年的沙特阿拉伯,显示出他们的攻击策略正在不断演变。
图源备注:图片由AI生成,图片授权服务商Midjourney
Kaspersky 的研究显示,这次恶意活动涉及到名为 PipeMagic 的木马病毒。PipeMagic 是一种插件式木马,作为攻击的 “网关”,可以深入渗透企业网络。Kaspersky 的安全研究员 Sergey Lozhkin 表示,网络犯罪分子不断进化他们的策略,以获取更多的受害者并扩展影响力。“随着 PipeMagic 木马从亚洲扩展到沙特阿拉伯,我们预计利用该后门的攻击将会增加。”
PipeMagic 的一个独特之处在于,它能够生成一个16字节的随机数组,以创建命名管道,格式为 \.\pipe\1.< 十六进制字符串 >。它会生成一个线程,不断创建这个管道、读取数据,并最终销毁它。这个管道用于接收编码的有效载荷和停止信号,而 PipeMagic 通常会与多个从指挥控制(C2)服务器下载的插件一起运作,而此次的 C2服务器恰好托管在微软的 Azure 平台上。
在技术层面上,Kaspersky 解释了这个假冒的 ChatGPT 应用是如何构建的。它使用了 Rust 编程语言,并且分阶段操作。乍一看,这个应用似乎是合法的,包含了许多在其他 Rust 应用中常见的库。然而,当这个应用被执行时,屏幕上显示的是一片空白,没有任何可见的界面,而隐藏着一个105,615字节的加密数据数组,这正是恶意载荷。
一旦这个恶意软件被部署,它会开始搜索关键的 Windows API 函数,通过对应的内存偏移量使用名称哈希算法进行搜索。接着,它会分配内存,加载 PipeMagic 后门,调整必要的设置,最后执行这个恶意软件。
划重点:
- 🦠 Kaspersky 发现黑客利用假冒 ChatGPT 应用程序传播 PipeMagic 木马。
- 🌍 攻击目标从2022年的亚洲转移至2024年的沙特阿拉伯,显示网络犯罪分子的策略升级。
- 🔍 PipeMagic 利用命名管道和插件技术,以便深入企业网络进行恶意攻击。