Недавно обнаруженный троян PipeMagic снова набирает обороты. Первоначально выявленный в 2022 году, этот троян был нацелен на компании в Азии, однако теперь его присутствие зафиксировано в Саудовской Аравии. Согласно исследованию команды Kaspersky GReAT, киберпреступники используют фейковое приложение ChatGPT, чтобы заманить пользователей и получить доступ к их устройствам. Пользователи скачивают это приложение, считая его безопасным, что даёт злоумышленникам возможность осуществлять удаленное управление и проникновение в корпоративные сети.
Как работает PipeMagic
PipeMagic построен на языке Rust и на первый взгляд выглядит как обычное приложение ChatGPT. При запуске оно отображает пустой экран, что выглядит подозрительно, но многие пользователи не обращают на это внимание. В реальности же приложение скрывает зашифрованную полезную нагрузку, которая затем запускает цепочку действий: сначала троян проверяет устройство, а затем устанавливает бэкдор, позволяя хакерам управлять заражённым компьютером.
PipeMagic использует уникальную технологию каналов передачи данных. Он создает так называемые каналы (pipes), через которые происходит обмен командами и кодами с сервером управления, находящимся в облаке Microsoft Azure. Таким образом, троян может не только осуществлять сбор данных, но и служить шлюзом для более сложных атак.
Фишинговые атаки продолжают оставаться одним из главных векторов атак для киберпреступников, и по этой причине предприятиям важно инвестировать в программы повышения осведомленности и обучения безопасности. Пользователи должны уметь различать поддельные приложения и ссылки, избегая взаимодействия с подозрительными файлами и сайтами.
