İSTANBUL - Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), PipeMagic Truva Atı'nı içeren yeni bir siber saldırı kampanyasını keşfetti.
Şirketten yapılan açıklamaya göre, saldırganlar sahte bir ChatGPT uygulamasını yem olarak kullanıyor ve hem hassas verileri ayıklayan hem de güvenliği ihlal edilmiş cihazlara kapsamlı uzaktan erişim sağlayan bir arka kapı yerleştiriyor. Kötü amaçlı yazılım aynı zamanda bir ağ geçidi şeklinde çalışarak diğer kötü amaçlı yazılımların girişine ve kurumsal ağda daha fazla saldırının başlatılmasına yol açıyor.
Kaspersky PipeMagic arka kapısını ilk olarak 2022'de keşfetti. Bu eklenti tabanlı Truva Atı keşfedildiği dönemde Asya'daki kuruluşları hedef alıyordu. Söz konusu kötü amaçlı yazılım hem arka kapı hem de ağ geçidi olarak işlev yapabiliyor. Eylül 2024'te Kaspersky GReAT, PipeMagic'in bu kez Suudi Arabistan'daki kuruluşları hedef alarak yeniden ortaya çıktığını gözlemledi.
Yeni sürüm, Rust programlama dili ile oluşturulmuş sahte bir ChatGPT uygulaması kullanıyor. İlk bakışta diğer pek çok Rust tabanlı uygulamada kullanılan birkaç yaygın Rust kütüphanesi içeren meşru bir uygulama gibi görünüyor. Ancak uygulama çalıştırıldığında, görünür bir arayüzü olmayan, boş bir ekran görüntülüyor ve kötü amaçlı bir yük olan 105 bin 615 baytlık şifrelenmiş veri dizisini gizliyor.
İkinci aşamada kötü amaçlı yazılım, isim karıştırma algoritmasını kullanarak ilgili bellek uzantılarını ve önemli Windows API işlevlerini arıyor. Daha sonra kendine bellek ayırıyor, PipeMagic arka kapısını yüklüyor, gerekli ayarları yapıyor ve kötü amaçlı yazılımı çalıştırıyor.
PipeMagic'in benzersiz özelliklerinden biri, bir pipe oluşturmak için 16 baytlık rastgele bir dizi hazırlaması. Sürekli olarak bu pipe yapısını hazırlayan, veri okuyan ve ardından yok eden bir iş parçacığı oluşturuyor. Bu pipe kodlanmış yükleri almak için kullanılıyor ve varsayılan yerel arayüz üzerinden sinyalleri durduruyor. PipeMagic genellikle Microsoft Azure üzerinde barındırılan bir komuta ve kontrol (C2) sunucusundan indirilen birden fazla eklentiyle çalışıyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırma Lideri Sergey Lozhkin, "Siber suçlular, PipeMagic Truva Atı'nın yakın zamanda Asya'dan Suudi Arabistan'a yayılmasından da görülebileceği gibi, daha verimli hedeflere ulaşmak ve varlıklarını genişletmek için stratejilerini sürekli geliştiriyor. Yetenekleri göz önüne alındığında, bu arka kapıyı kullanan saldırılarda bir artış görmeyi bekliyoruz." ifadelerini kullandı.