Credit image: Freepix
Ransomware yang Menyamar sebagai ChatGPT – Para penyerang kini menyebarkan backdoor modular canggih yang menyamar sebagai aplikasi ChatGPT Desktop.
Backdoor ini digunakan sebagai bagian dari rantai serangan yang mengeksploitasi kerentanan kritis pada Windows untuk menyebarkan ransomware Play.
Kelompok ransomware Play yang dilacak oleh Microsoft sebagai Storm-2460 menggunakan backdoor PipeMagic dalam operasi serangan yang mengeksploitasi kerentanan CVE-2025-29824.
Kerentanan ini adalah celah eskalasi privilese di Windows Common Log File System (CLFS) yang memungkinkan penyerang mendapatkan hak istimewa tingkat sistem pada perangkat yang diretas.
Kerentanan yang ditemukan di CLFS Driver ini awalnya adalah celah zero-day ketika ditemukan pada April. Meskipun Microsoft telah menambalnya sebagai bagian dari pembaruan Patch Tuesday April.
Hal ini tidak menghentikan Storm-2460 untuk mengeksploitasi sistem yang belum ditambal di berbagai sektor dan wilayah, termasuk TI, keuangan, dan real estat di seluruh dunia.
|
Baca juga: Ancaman Ransomware Baru dengan Taktik Mirip Kelompok APT |
Evolusi Backdoor PipeMagic
Selain menyebarkan ransomware, kelompok Storm-2460 juga menggunakan versi terbaru dari backdoor PipeMagic. Backdoor ini memungkinkan penyerang untuk mempertahankan kehadiran dan melakukan aktivitas lain pada sistem yang terinfeksi bahkan setelah ransomware dilepaskan.
Para peneliti juga mengamati aktivitas baru pada tahun 2025 yang terkait dengan backdoor PipeMagic, menunjukkan “minat berkelanjutan” pada organisasi di Arab Saudi dan ekspansi ke sektor manufaktur di Brasil.
Menurut mereka, eksploitasi kerentanan CVE-2025-29824 satu-satunya dari 121 kerentanan yang ditambal Microsoft pada April yang dieksploitasi secara aktif—secara khusus terkait dengan eksploitasi yang terintegrasi ke dalam rantai infeksi PipeMagic.
|
Baca juga: Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam |
Analisis Mendalam tentang Backdoor Kompleks
Microsoft melakukan analisis mendalam terhadap backdoor PipeMagic. Infeksi dimulai dengan dropper berbahaya di dalam memori yang menyamar sebagai proyek aplikasi ChatGPT Desktop sumber terbuka.
Pelaku ancaman menggunakan versi modifikasi dari proyek GitHub yang menyertakan kode berbahaya untuk mendekripsi dan meluncurkan payload yang disematkan di dalam memori.
Payload yang disematkan ini adalah PipeMagic, backdoor modular yang berkomunikasi dengan server command-and-control (C2) melalui TCP. Malware ini mendapatkan namanya karena setelah aktif, ia menerima modul payload melalui named pipe dan server C2-nya.
Malware ini dapat memperbarui dirinya sendiri dengan menyimpan modul-modul ini di dalam memori, memungkinkannya berinteraksi dan mengelola kemampuan backdoor sepanjang siklus hidupnya.
Setelah PipeMagic berjalan dalam rantai serangan, Storm-2460 menggunakan eksploitasi CLFS untuk meningkatkan hak istimewa sebelum meluncurkan ransomware terhadap organisasi yang disusupi.
Sumber berita:
