Microsoft a émis Un avertissement concernant une application frauduleuse de bureau ChatGPT qui se propage en ligne. Cette application contient les logiciels malveillants PipeMagic, identifiés comme un cadre hautement modulaire fonctionnant à la fois comme un infostecteur et une porte dérobée.
Selon un rapport détaillé de Microsoft, le cadre pipemagique est originaire de GitHub. Le rapport indique: «La première étape de l’exécution de l’infection pipemagique commence par un compte-gouttes malveillant déguisé en un projet d’application de bureau Chatgpt open source.» Cela implique des acteurs de menace utilisant une version modifiée du projet GitHub, qui intègre un code malveillant conçu pour décrypter et lancer une charge utile intégrée directement dans la mémoire.
Le malware est attribué à un acteur de menace connu sous le nom de Storm-2460. Microsoft a précédemment identifié Storm-2460 début avril 2025 pour l’exploitation d’une vulnérabilité zéro-jour dans le système de fichiers journaux communs (CVE-2025-29824) pour déployer le crypteur Ransomexx. Cette vulnérabilité est à nouveau exploitée dans la campagne PipeMagic. Alors que Microsoft a confirmé l’abus continu du CVE-2025-29824, la société n’a pas précisé si le même encryptor a été déployé dans ce cas. Le rapport met l’accent sur l’évolution de Pipemagic d’un cheval de cheval de porte dérobée de base dans un cadre de logiciel malveillant complexe.
L’itération actuelle de PipeMagic est caractérisée par sa conception modulaire, qui accorde aux acteurs des menaces la capacité d’exécuter dynamiquement les charges utiles, de maintenir un contrôle persistant sur les systèmes compromis et de communiquer secrètement avec des serveurs de commandement et de contrôle. Ses capacités incluent la gestion des modules de charge utile cryptés dans la mémoire, effectuer une escalade des privilèges, la collecte d’informations système étendues et l’exécution du code arbitraire à l’aide de son architecture de liste liée.
PipeMagic facilite également la communication inter-processus cryptée à travers des tuyaux nommés. En outre, le malware peut s’auto-mettre à jour en recevant de nouveaux modules de son infrastructure de commande et de contrôle, permettant un raffinement et une adaptation continus.
Bien que le nombre de victimes soit décrit comme «limité» par Microsoft, des chiffres spécifiques n’ont pas été divulgués. Les cibles observées sont situées aux États-Unis, à travers l’Europe, l’Amérique du Sud et le Moyen-Orient. Les industries les plus fréquemment ciblées comprennent les technologies de l’information, les services financiers et l’immobilier.
Pour atténuer la menace posée par PipeMagic, Microsoft recommande la mise en œuvre d’une stratégie de défense en couches. Cela inclut l’activation de la protection contre le sabotage et la protection du réseau dans Microsoft Defender pour le point de terminaison. De plus, Microsoft conseille l’exécution de la détection et de la réponse des points de terminaison en mode bloc, ainsi que d’autres mesures de sécurité.
