Zsarolóvírussal bútorozott össze a PipeMagic trójai

​A PipeMagic trójai program fertőzése önmagában is komoly kockázatot jelent, de általában egy zsarolóvírussal végrehajtott támadás is követi.
 

A PipeMagic trójait a Microsoft biztonsági kutatói vették alaposan szemügyre. Erre jó okuk volt, mivel ez a károkozó már több szofisztikált támadásban is szerephez jutott. Ugyan jelenleg nem terjed széles körben, de az általa alkalmazott technikák és módszerek felkeltették a szakértők érdeklődését. 

A PipeMagic az eddig feltárt esetekben egy hamis, ChatGPT alkalmazás formájában jutott fel a rendszerekre. Tulajdonképpen nem egy hagyományos trójairól van szó, hanem sokkal inkább egy malware keretrendszerről, amely modulárisan bővíthető a támadók céljainak megfelelően. Az egyes modulok felelnek a vezérlőszerverekkel folytatott kommunikációért, és a távolról kiadott parancsok végrehajtásáért. 

"A hálózati kommunikációval és a hátsó kapuval összefüggő feladatok különálló komponensekre történő szétbontásával a PipeMagic moduláris, jól rejthető és jól bővíthető architektúrát valósít meg, ami jelentősen megnehezíti a detektálását, valamint az elemzését"

- vélekedtek a biztonsági kutatók.

A kockázatokat tovább fokozza, hogy az eddigi támadások során nem kizárólag a PipeMagic okozott károkat, hanem az is, hogy ezekben az esetekben a RansomEXX nevű zsarolóprogram is képbe került. 

A PipeMagic fontos sajátossága, hogy előszeretettel használ ki különféle szoftveres sebezhetőségeket. Leggyakrabban a Windows Common Log File System Driver kapcsán idén áprilisban feltárt (CVE-2025-29824 azonosítóval ellátott) sérülékenységet igyekszik a saját javára fordítani.

Nincs fájlszintű nyom

A kártékony program a detektálását és az elemzését is megpróbálja azzal nehezíteni, hogy mindent a memóriában végez, a fájlrendszer szintjén nem hajt végre módosításokat. A hálózati és az egyéb payload moduljait a memóriában egy duplán láncolt lista segítségével kezeli.

Miután a hálózati modulja kapcsolatot teremt a vezérlőszerverrel, azt követően összegyűjti és kiszivárogtatja a legfontosabb rendszerparamétereket, majd várakozik a támadók parancsaira, amelyeket rögtön végre is hajt.