ChatGPT
ChatGPT
Bildquelle: Jonathan Kemper, Lizenz

PipeMagic-Trojaner tarnt sich als ChatGPT-Anwendung

Kaspersky Lab hat eine neue Kampagne mit dem PipeMagic-Trojaner entdeckt, die sich in einer gefälschten ChatGPT-Anwendung versteckt.

Aktuell versteckt man den PipeMagic-Trojaner in einer „kostenlosen“ Version von ChatGPT. Wie es aussieht, versuchen Cyberkriminelle den anhaltenden Hype rund um das Thema KI für die eigenen Zwecke ausnutzen.

Sensible Daten kopieren, Fernzugriff, Malware nachladen

Bei der Infektion agiert eine Backdoor, die sowohl vertrauliche Daten extrahieren kann als auch vollständigen Fernzugriff auf infizierte Geräte bietet. Weiterhin fungiert die Malware als Gateway, so dass sie weitere Malware nachladen kann und damit den Start weiterer Angriffe im Unternehmensnetzwerk ermöglicht.

PipeMagic-Backdoor tauchte erstmals vor zwei Jahren auf

Kaspersky entdeckte die PipeMagic-Backdoor erstmalig im Jahr 2022. Anfangs hatte es die Malware auf Unternehmen in Saudi Arabien und Asien abgesehen. Vor zwei Jahren missbrauchte man die Malware auch als Bestandteil von Ransomware-Angriffen.

PipeMagic-Backdoor

Die aktuelle Version versteckt sich nun hinter einer gefälschten ChatGPT-Anwendung, die Unbekannte in der Programmiersprache Rust erstellt haben. Die Backdoor erscheint zunächst legitim und enthält mehrere gängige Rust-Bibliotheken, die auch in anderen Rust-basierten Anwendungen verwendet werden.

Führt man die Fake-ChatGPT-Anwendung aus, zeigt sie einen leeren Bildschirm ohne eine sichtbare Nutzeroberfläche an. Dabei versteckt sie 105.615 Byte verschlüsselter Daten, bei denen es sich um den schädlichen Payload handelt.

PipeMagic-Backdoor analysiert zunächst den infizierten PC

Nachdem man die Anwendung gestartet hat, sucht die Malware nach wichtigen Windows-API-Funktionen. Hierfür durchforstet sie die entsprechenden Speicher mithilfe eines Names-Hashing-Algorithmus. Anschließend weist sie Speicher zu, lädt die PipeMagic-Backdoor, passt die erforderlichen Einstellungen an und führt die Malware aus.

Daten für das Nachladen der Malware bei Microsoft Azure

kaspersky global research and analysis team

Eines der einzigartigen Merkmale von PipeMagic ist, dass es ein 16-Byte-Zufallsarray generiert, um eine named Pipe im Format \.\pipe\1. zu erstellen. Es erzeugt einen Prozess, der kontinuierlich diese Pipe erstellt, Daten daraus liest und sie wieder schließt.

Die Pipe wird zum Empfang verschlüsselter Payloads und Stoppsignale über die Standard lokale Schnittstelle verwendet. Die PipeMagic-Backdoor funktioniert normalerweise mit mehreren Plug-ins, die sie von einem Command-and-Control-Server herunterlädt. In diesem Fall haben die Cyberkriminellen die Daten beim Webhoster Microsoft Azure hinterlegt.

Strategien der Hacker passen sich den Gegebenheiten an

Cyberkriminelle entwickeln ihre Strategien ständig weiter, um mehr Opfer zu erreichen und ihre Präsenz auszuweiten, wie die jüngsten Angriffe des PipeMagic-Trojaners zeigen. Angesichts der Fähigkeiten erwarten wir eine Zunahme von Angriffen, die diese Backdoor ausnutzen“, kommentiert Sergey Lozhkin, Principal Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky, die Fake-ChatGPT-Malware-Kampagne.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.