Saldırganlar sahte bir ChatGPT uygulamasını yem olarak kullanıyor ve hem hassas verileri ayıklayan hem de güvenliği ihlal edilmiş cihazlara kapsamlı uzaktan erişim sağlayan PipeMagic arka kapıyı yerleştiriyor.
PipeMagic arka kapısını ilk olarak 2022 yılında keşfedildi. Bu eklenti tabanlı Truva atı keşfedildiği dönemde Asya’daki kuruluşları hedef alıyordu.
Söz konusu kötü amaçlı yazılım hem arka kapı hem de ağ geçidi olarak işlev yapabiliyor. Eylül 2024’te GReAT, PipeMagic’in bu kez Suudi Arabistan’daki kuruluşları hedef alarak yeniden ortaya çıktığını gözlemledi.
Yeni sürüm, Rust programlama dili ile oluşturulmuş sahte bir ChatGPT uygulaması kullanıyor. İlk bakışta diğer pek çok Rust tabanlı uygulamada kullanılan birkaç yaygın Rust kütüphanesi içeren meşru bir uygulama gibi görünüyor. Ancak uygulama çalıştırıldığında, görünür bir arayüzü olmayan, boş bir ekran görüntülüyor ve kötü amaçlı bir yük olan 105.615 baytlık şifrelenmiş veri dizisini gizliyor.
İkinci aşamada kötü amaçlı yazılım, isim karıştırma algoritmasını kullanarak ilgili bellek uzantılarını ve önemli Windows API işlevlerini arıyor. Daha sonra kendine bellek ayırıyor, PipeMagic arka kapısını yüklüyor, gerekli ayarları yapıyor ve kötü amaçlı yazılımı çalıştırıyor.
Pipe Magic’in benzersiz özelliklerinden biri, \\.\pipe\1.<hex string> biçiminde adlandırılmış bir pipe oluşturmak için 16 baytlık rastgele bir dizi hazırlaması. Sürekli olarak bu pipe yapısını hazırlayan, veri okuyan ve ardından yok eden bir iş parçacığı oluşturuyor. Bu pipe kodlanmış yükleri almak için kullanılıyor ve varsayılan yerel arayüz üzerinden sinyalleri durduruyor. PipeMagic genellikle Microsoft Azure üzerinde barındırılan bir komuta ve kontrol (C2) sunucusundan indirilen birden fazla eklentiyle çalışıyor.