El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha descubierto recientemente una nueva campaña maliciosa que involucra al troyano PipeMagic, que ha pasado de tener como objetivo entidades de Asia a ampliar su alcance a organizaciones de Arabia Saudí. Los atacantes están utilizando como señuelo una aplicación falsa de ChatGPT, desplegando una puerta trasera que extrae datos confidenciales y permite el acceso remoto completo a los dispositivos comprometidos. Este malware también funciona como una vía de entrada para la introducción de malware adicional y el lanzamiento de nuevos ataques a través de la red corporativa.
Kaspersky detectó por primera vez la puerta trasera PipeMagic en 2022, un troyano basado en complementos que apuntaba a entidades en Asia. Este malware es capaz de funcionar tanto como puerta trasera como vía de acceso. En septiembre de 2024, el equipo GReAT de Kaspersky observó un resurgimiento de PipeMagic, esta vez dirigido a organizaciones en Arabia Saudita. Esta versión utiliza una aplicación falsa de ChatGPT, creada con el lenguaje de programación Rust. A primera vista, parece legítima, ya que contiene varias bibliotecas comunes de Rust utilizadas en muchas otras aplicaciones basadas en Rust. Sin embargo, al ejecutarse, la aplicación muestra una pantalla en blanco sin interfaz visible y oculta un arreglo de datos cifrados de 105,615 bytes que es una carga útil maliciosa.
En la segunda etapa, el malware busca funciones clave de la API de Windows, localizando los desplazamientos de memoria correspondientes mediante un algoritmo de hash de nombres. A continuación, asigna memoria, carga la puerta trasera PipeMagic, ajusta la configuración necesaria y ejecuta el malware.
Una de las características únicas de PipeMagic es que genera un arreglo aleatorio de 16 bytes para crear un pipe con nombre en el formato \\.\pipe\1.<cadena hexadecimal>. Crea un hilo que continuamente genera este pipe, lee datos del mismo y luego lo destruye. En este sentido, se utiliza para recibir cargas útiles codificadas y señales de parada a través de la interfaz local predeterminada. PipeMagic generalmente funciona con varios complementos descargados de un servidor de comando y control (C2), que, en este caso, estaba alojado en Microsoft Azure.
“Los ciberdelincuentes están constantemente evolucionando sus estrategias para llegar a víctimas más prolíficas y ampliar su presencia, como lo demuestra la reciente expansión del troyano PipeMagic de Asia a Arabia Saudita. Dadas sus capacidades, esperamos ver un aumento en los ataques que aprovechan esta puerta trasera”, comenta Sergey Lozhkin, analista principal de seguridad en GReAT de Kaspersky.
Para evitar caer víctima de un ataque dirigido por actores de amenazas conocidos o desconocidos, los analistas de Kaspersky recomiendan implementar las siguientes medidas:
- Ten precaución al descargar software de Internet, especialmente si es desde páginas web de terceros. Siempre intenta descargar software desde la web oficial de la empresa o servicio que estés utilizando.
- Proporciona a tu equipo SOC acceso a la inteligencia de amenazas más reciente (TI). Kaspersky Threat Intelligence es un punto de acceso único para la TI de la empresa, ofreciendo datos e información sobre ciberataques recolectados por Kaspersky a lo largo de más de 20 años.
- Mejora las habilidades de tu equipo de ciberseguridad para enfrentar las últimas amenazas dirigidas mediante los cursos de formación online de Kaspersky, desarrollados por los expertos de GReAT.
- Para la detección, investigación y remediación oportuna de incidentes a nivel de endpoints, implementa soluciones EDR como Kaspersky Endpoint Detection and Response.
- Además de adoptar una protección esencial para los endpoints, implementa una solución de seguridad a nivel corporativo que detecte amenazas avanzadas a nivel de red en una etapa temprana, como la Kaspersky Anti Targeted Attack Platform.
- Dado que muchos ataques dirigidos comienzan con técnicas de phishing u otras formas de ingeniería social, introduce entrenamiento de concienciación en seguridad y enseña habilidades prácticas a tu equipo, por ejemplo, a través de la Kaspersky Automated Security Awareness Platform.
Para obtener información exclusiva sobre las últimas campañas APT y las tendencias emergentes en el panorama de amenazas, regístrate en la Security Analyst Summit.