MinhSec
Writer
Microsoft vừa phát hiện một chiến dịch tấn công mạng nguy hiểm, khi kẻ xấu lợi dụng ứng dụng ChatGPT Desktop giả mạo để phát tán cửa hậu PipeMagic, công cụ đã được nhóm tin tặc Storm-2460 sử dụng trong nhiều vụ tấn công ransomware.
Điểm đặc biệt là PipeMagic không chỉ lợi dụng lỗ hổng zero-day trong Windows (CVE-2025-29824), mà còn được thiết kế theo dạng mô-đun, giúp nó linh hoạt tải các thành phần khác nhau, từ điều khiển kết nối, chạy payload, cho tới ẩn mình trong bộ nhớ bằng các đường ống được mã hóa. Nhờ vậy, việc phát hiện hoặc phân tích PipeMagic trở nên vô cùng khó khăn.
Microsoft nhấn mạnh: dự án ChatGPT Desktop hợp pháp trên GitHub không chứa mã độc. Tin tặc đã sao chép, chèn mã ẩn và phát tán phiên bản giả mạo, khiến người dùng tải từ nguồn không chính thức có thể trở thành nạn nhân.
PipeMagic có khả năng quản lý payload thông qua nhiều danh sách liên kết, hoạt động như các hàng đợi nội bộ. Điều này cho phép nhóm Storm-2460 dễ dàng thay đổi, cập nhật hoặc bổ sung mô-đun mà không cần triển khai lại toàn bộ. Bên cạnh đó, nó còn sử dụng mô-đun mạng riêng để kết nối WebSocket với máy chủ điều khiển, giúp che giấu lưu lượng và hạn chế bị phát hiện.
Storm-2460 đã dùng PipeMagic cùng với lỗ hổng leo thang đặc quyền CVE-2025-29824 để tấn công vào nhiều lĩnh vực, đặc biệt là tài chính và bất động sản tại Mỹ, châu Âu, Nam Mỹ và Trung Đông. Các khả năng của PipeMagic bao gồm: thu thập thông tin hệ thống, liệt kê quy trình, cập nhật mô-đun, trích xuất dữ liệu, thậm chí tự xóa dấu vết.
PipeMagic cho thấy sự tinh vi ngày càng cao của các cửa hậu hiện đại: kết hợp lỗ hổng zero-day, thiết kế mô-đun và kỹ thuật che giấu, khiến nó trở thành một mối đe dọa đáng lo ngại đối với an ninh mạng toàn cầu.
hackread.com
Điểm đặc biệt là PipeMagic không chỉ lợi dụng lỗ hổng zero-day trong Windows (CVE-2025-29824), mà còn được thiết kế theo dạng mô-đun, giúp nó linh hoạt tải các thành phần khác nhau, từ điều khiển kết nối, chạy payload, cho tới ẩn mình trong bộ nhớ bằng các đường ống được mã hóa. Nhờ vậy, việc phát hiện hoặc phân tích PipeMagic trở nên vô cùng khó khăn.
Microsoft nhấn mạnh: dự án ChatGPT Desktop hợp pháp trên GitHub không chứa mã độc. Tin tặc đã sao chép, chèn mã ẩn và phát tán phiên bản giả mạo, khiến người dùng tải từ nguồn không chính thức có thể trở thành nạn nhân.
Cách PipeMagic hoạt động và phạm vi tấn công
Theo báo cáo kỹ thuật của Microsoft, giai đoạn đầu của PipeMagic thường bắt đầu bằng một dropper ẩn trong phiên bản ChatGPT Desktop giả mạo. Khi được khởi chạy, mã độc sẽ giải mã và kích hoạt payload trong bộ nhớ, từ đó mở ra backdoor cho tin tặc.PipeMagic có khả năng quản lý payload thông qua nhiều danh sách liên kết, hoạt động như các hàng đợi nội bộ. Điều này cho phép nhóm Storm-2460 dễ dàng thay đổi, cập nhật hoặc bổ sung mô-đun mà không cần triển khai lại toàn bộ. Bên cạnh đó, nó còn sử dụng mô-đun mạng riêng để kết nối WebSocket với máy chủ điều khiển, giúp che giấu lưu lượng và hạn chế bị phát hiện.
Storm-2460 đã dùng PipeMagic cùng với lỗ hổng leo thang đặc quyền CVE-2025-29824 để tấn công vào nhiều lĩnh vực, đặc biệt là tài chính và bất động sản tại Mỹ, châu Âu, Nam Mỹ và Trung Đông. Các khả năng của PipeMagic bao gồm: thu thập thông tin hệ thống, liệt kê quy trình, cập nhật mô-đun, trích xuất dữ liệu, thậm chí tự xóa dấu vết.
Cảnh báo bảo mật từ Microsoft
Để đối phó, Microsoft đã phát hành quy tắc phát hiện PipeMagic trên Microsoft Defender, đồng thời khuyến nghị người dùng chỉ tải ChatGPT Desktop từ nguồn chính thức trên GitHub, tránh các bản sao chép không rõ nguồn gốc. Các tổ chức cũng nên rà soát lại hệ thống, cập nhật bản vá Windows và triển khai biện pháp giám sát lưu lượng mạng để phát hiện hành vi bất thường.PipeMagic cho thấy sự tinh vi ngày càng cao của các cửa hậu hiện đại: kết hợp lỗ hổng zero-day, thiết kế mô-đun và kỹ thuật che giấu, khiến nó trở thành một mối đe dọa đáng lo ngại đối với an ninh mạng toàn cầu.
Fake ChatGPT Desktop App Delivering PipeMagic Backdoor, Microsoft
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview