Yapılan açıklamaya göre, saldırganlar, sahte bir ChatGPT uygulaması üzerinden kullanıcıları tuzağa düşürüyor. Bu uygulama, kullanıcıların hassas bilgilerini çalmanın yanı sıra, ele geçirilen cihazlara uzaktan erişim sağlayan güçlü bir arka kapı yerleştiriyor. Kötü amaçlı yazılım aynı zamanda kurumsal ağlara ek saldırılar düzenlemek için bir ağ geçidi işlevi görüyor.
Kaspersky, PipeMagic arka kapısını ilk olarak 2022'de tespit etti. İlk etapta Asya'daki bazı kurumları hedef alan bu Truva Atı, hem bir arka kapı hem de ağ geçidi olarak çalışabiliyor. 2024 yılının Eylül ayında, Kaspersky GReAT ekibi, PipeMagic’in bu kez Suudi Arabistan’daki kurumlara yönelik yeni bir saldırı dalgasıyla geri döndüğünü gözlemledi.
Yeni PipeMagic Sürümünün Özellikleri
Yeni sürüm, Rust programlama dili ile geliştirilmiş sahte bir ChatGPT uygulaması aracılığıyla yayılıyor. Bu uygulama, ilk etapta meşru bir uygulama gibi görünse de çalıştırıldığında, kullanıcıya boş bir ekran gösteriyor ve aslında arka planda kötü amaçlı bir yazılımı gizliyor. Şifrelenmiş 105 bin baytlık bir veri dizisi barındıran bu uygulama, gizli bir yük taşıyor.
Saldırının Teknik Detayları
Saldırının ikinci aşamasında, kötü amaçlı yazılım, Windows işletim sisteminde önemli API işlevlerini ve bellek uzantılarını hedef alarak kendine bellek ayırıyor. Bu süreç sonunda PipeMagic arka kapısını aktif hale getiriyor ve kötü amaçlı yazılımı çalıştırıyor. PipeMagic’in dikkat çeken özelliklerinden biri, 16 baytlık rastgele bir dizi ile sürekli olarak veri alışverişi yapmasıdır. Bu veri alışverişi, Microsoft Azure tabanlı bir komuta ve kontrol (C2) sunucusundan gelen eklentilerle destekleniyor.
Siber Suçluların Stratejileri Gelişiyor
Kaspersky GReAT Güvenlik Araştırma Lideri Sergey Lozhkin, yaptığı açıklamada, "Siber suçlular, PipeMagic Truva Atı’nın Asya’dan Suudi Arabistan’a kadar genişlemesinden de görüldüğü üzere, daha etkili hedeflere ulaşmak için stratejilerini sürekli geliştiriyorlar" dedi. Lozhkin, bu saldırı türünde bir artış beklediklerini ve siber güvenlik alanında alınacak önlemlerin bu saldırıları önlemek adına kritik olduğunu vurguladı.
