近日，網(wǎng)絡安全公司 Kaspersky 發(fā)布了一項調(diào)查報告，揭露了網(wǎng)絡犯罪分子如何利用一個假冒的 ChatGPT 應用程序來實施后門攻擊和傳播惡意軟件。令人關注的是，這些攻擊者的目標從2022年的亞洲轉(zhuǎn)向了2024年的沙特阿拉伯，顯示出他們的攻擊策略正在不斷演變。

圖源備注:圖片由AI生成，圖片授權(quán)服務商Midjourney

Kaspersky 的研究顯示，這次惡意活動涉及到名為 PipeMagic 的木馬病毒。PipeMagic 是一種插件式木馬，作為攻擊的 “網(wǎng)關”，可以深入滲透企業(yè)網(wǎng)絡。Kaspersky 的安全研究員 Sergey Lozhkin 表示，網(wǎng)絡犯罪分子不斷進化他們的策略，以獲取更多的受害者并擴展影響力。“隨著 PipeMagic 木馬從亞洲擴展到沙特阿拉伯，我們預計利用該后門的攻擊將會增加。”

PipeMagic 的一個獨特之處在于，它能夠生成一個16字節(jié)的隨機數(shù)組，以創(chuàng)建命名管道，格式為 \.\pipe\1.< 十六進制字符串 >。它會生成一個線程，不斷創(chuàng)建這個管道、讀取數(shù)據(jù)，并最終銷毀它。這個管道用于接收編碼的有效載荷和停止信號，而 PipeMagic 通常會與多個從指揮控制（C2）服務器下載的插件一起運作，而此次的 C2服務器恰好托管在微軟的 Azure 平臺上。

在技術(shù)層面上，Kaspersky 解釋了這個假冒的 ChatGPT 應用是如何構(gòu)建的。它使用了 Rust 編程語言，并且分階段操作。乍一看，這個應用似乎是合法的，包含了許多在其他 Rust 應用中常見的庫。然而，當這個應用被執(zhí)行時，屏幕上顯示的是一片空白，沒有任何可見的界面，而隱藏著一個105，615字節(jié)的加密數(shù)據(jù)數(shù)組，這正是惡意載荷。

一旦這個惡意軟件被部署，它會開始搜索關鍵的 Windows API 函數(shù)，通過對應的內(nèi)存偏移量使用名稱哈希算法進行搜索。接著，它會分配內(nèi)存，加載 PipeMagic 后門，調(diào)整必要的設置，最后執(zhí)行這個惡意軟件。

劃重點:

- ?? Kaspersky 發(fā)現(xiàn)黑客利用假冒 ChatGPT 應用程序傳播 PipeMagic 木馬。

- ?? 攻擊目標從2022年的亞洲轉(zhuǎn)移至2024年的沙特阿拉伯，顯示網(wǎng)絡犯罪分子的策略升級。

- ?? PipeMagic 利用命名管道和插件技術(shù)，以便深入企業(yè)網(wǎng)絡進行惡意攻擊。