São Paulo — InkDesign News — A Microsoft alertou sobre um aplicativo de desktop falso do ChatGPT utilizado para disseminar um malware chamado PipeMagic, relacionado a ataques de ransomware que exploram uma vulnerabilidade zero-day no Windows.
Incidente e vulnerabilidade
A descoberta do backdoor PipeMagic ocorreu enquanto pesquisadores da Microsoft investigavam ataques que exploravam uma falha zero-day no Windows CLFS, identificada como CVE-2025-29824. O PipeMagic se disfarça como uma aplicação legítima de ChatGPT, oferecendo um framework para operações de ransomware. O funcionamento do malware é baseado em um design modular, permitindo que diferentes componentes sejam carregados conforme necessário. Esses módulos, que variam entre comunicação e execução de payloads, permanecem ocultos por meio de pipes nomeados criptografados e operações em memória. Isso resulta em um desafio significativo para a detecção e análise por especialistas em segurança.
Impacto e resposta
A Microsoft atribui o PipeMagic ao grupo Storm-2460, motivado financeiramente, que tem como alvo variados setores, incluindo financeiro e imobiliário em regiões como Estados Unidos, Europa, América do Sul e Oriente Médio. O malware utiliza uma estrutura de listas encadeadas para gerenciar payloads e comunicação, o que permite que os atacantes atualizem componentes dinamicamente, sem precisar redistribuir completamente o backdoor. “A primeira fase da execução da infecção do PipeMagic começa com um dropper malicioso em memória disfarçado como o projeto de aplicação de desktop de código aberto do ChatGPT” ( “The first stage of the PipeMagic infection execution begins with a malicious in-memory dropper disguised as the open-source ChatGPT Desktop Application project.” ). Isso aumenta a eficiência da execução de comandos e pode facilitar a exfiltração de dados sensíveis.
Mitigações recomendadas
A Microsoft lançou detecções em seus produtos Microsoft Defender e recomenda que organismos revisem suas defesas de segurança. O blog técnico que a empresa publicou apresenta detalhes sobre como o PipeMagic se conecta via um módulo de rede dedicado, o que limita as oportunidades de detecção. Medidas de segurança sugeridas incluem a atualização dos sistemas com patches relevantes, particularmente em relação à CVE-2025-29824, e a orientação para evitar o download de versões de aplicativos de fontes não oficiais. Aqui, vale destacar: “PipeMagic mostra quão longe os backdoors evoluíram” ( “PipeMagic shows just how far backdoors have evolved.” ).
Este incidente ressalta os riscos persistentes relacionados a vulnerabilidades em sistemas amplamente utilizados, evidenciando a necessidade de uma vigilância constante e de atualizações de segurança eficazes para mitigar possíveis ataques futuros.
Fonte: (Hack Read – Segurança Cibernética)
