Microsoft tem publicado Um aviso sobre um aplicativo de desktop do ChatGPT fraudulento que está se espalhando online. Este aplicativo contém o malware pipemagico, identificado como uma estrutura altamente modular funcionando como um Infotealer e um backdoor.
De acordo com um relatório detalhado da Microsoft, a estrutura Pipemagic se originou no GitHub. O relatório afirma: “A primeira etapa da execução da infecção por Pipemagic começa com um conta-gotas de memória mal-intencionada disfarçada de projeto de aplicativo de desktop ChatGPT de código aberto”. Isso envolve atores de ameaças utilizando uma versão modificada do projeto GitHub, que incorpora código malicioso projetado para descriptografar e iniciar uma carga útil incorporada diretamente na memória.
O malware é atribuído a um ator de ameaças conhecido como Storm-2460. A Microsoft identificou anteriormente o Storm-2460 no início de abril de 2025 para explorar uma vulnerabilidade do dia zero no sistema de arquivos de log comum (CVE-2025-29824) para implantar o Ransomexx Encryptor. Essa vulnerabilidade está sendo novamente explorada na campanha Pipemagic. Enquanto a Microsoft confirmou o abuso contínuo do CVE-2025-29824, a empresa não especificou se o mesmo criptoptor foi implantado nesse caso. O relatório enfatiza a evolução da Pipemagic de um trojão básico de backdoor em uma estrutura complexa de malware.
A iteração atual do PIPemagic é caracterizada por seu design modular, que concede aos atores de ameaças a capacidade de executar dinamicamente cargas úteis, manter controle persistente sobre sistemas comprometidos e se comunicar secretamente com servidores de comando e controle. Seus recursos incluem o gerenciamento de módulos de carga útil criptografada na memória, executando a escalada de privilégios, coletando informações extensas do sistema e executando código arbitrário usando sua arquitetura de lista vinculada.
O Pipemagic também facilita a comunicação entre processos criptografados por meio de tubos nomeados. Além disso, o malware pode se auto-atualizar recebendo novos módulos de sua infraestrutura de comando e controle, permitindo refinamento e adaptação contínuos.
Embora o número de vítimas seja descrito como “limitado” pela Microsoft, números específicos não foram divulgados. Os alvos observados estão localizados nos Estados Unidos, na Europa, na América do Sul e no Oriente Médio. As indústrias mais frequentemente direcionadas incluem tecnologia da informação, serviços financeiros e imóveis.
Para mitigar a ameaça representada pela Pipemagic, a Microsoft recomenda a implementação de uma estratégia de defesa em camadas. Isso inclui ativar a proteção de adulteração e a proteção de rede no Microsoft Defender for Endpoint. Além disso, a Microsoft aconselha a detecção e a resposta do ponto de extremidade no modo de bloco, juntamente com outras medidas de segurança.
