Pesquisadores da Microsoft Threat Intelligence destrincharam um trojan modular chamado PipeMagic. O grupo publicou um artigo detalhando a ameaça, que seria utilizada por motivos financeiros pelo coletivo identificado como Storm-2460 e é constituído por uma elaborada estrutura que permite manutenibilidade, correções e atualizações, mesmo após a instalação.
Segundo a empresa, o malware foi usado em ataques que exploraram a falha CVE-2025-29824, uma vulnerabilidade de escalonamento de privilégios já corrigida. Com ela, os invasores conseguiram passar do acesso inicial à fase de implantação de ransomware.
Como funciona o PipeMagic?
O PipeMagic já foi registrado em várias campanhas do Storm-2460. Ele chega ao dispositivo em um pacote embrulhado em um arquivo MSBuild, que executa o código diretamente na memória. A partir daí, o malware dispara um exploit no Common Log File System (CLFS) para obter privilégios mais altos e liberar o ransomware.
No cenário mais recente, a infecção se dá por meio de um falso aplicativo open-source do ChatGPT para Desktop.
- Apesar de se passar por uma versão legítima, ele carrega o PipeMagic entre seus arquivos, descriptografa o código malicioso e executa sua carga na memória.
- Uma vez ativo, o trojan se conecta a servidores de comando e controle (C2) usando o protocolo TCP.
- Os módulos chegam em pacotes enviados pelo servidor e são carregados diretamente na memória.
- Para se manter ativo, o PipeMagic cria canais de comunicação com múltiplos nomes nomeados duplamente, o que dificulta sua detecção.
Essa arquitetura modular permite ao malware ser atualizado remotamente, renomeado para evitar bloqueios e receber novas funções de forma contínua. O PipeMagic, assim, garante maior persistência e flexibilidade nos sistemas comprometidos.
Vale lembrar que a ameaça não é inédita. O PipeMagic Trojan foi originalmente descoberto pela equipe GReAT, da Kaspersky, em outubro de 2024. Mais tarde, em maio de 2025, ele também foi reportado pela ESET Research.
O que o PipeMagic faz?
Como todo trojan, a principal função do PipeMagic é abrir portas para outros malwares. Mesmo assim, ele coleta informações estratégicas da máquina infectada. Entre os dados capturados estão a versão do sistema operacional, o nome do computador, o nome de domínio do usuário e o diretório de instalação, além de outros elementos que ajudam a sustentar a operação criminosa.
Como se proteger?
- Evite baixar aplicativos de fontes não oficiais, mesmo que se apresentem como “open-source”.
- Desconfie de programas que imitam apps legítimos e conhecidos.
- Mantenha seu software antivírus sempre atualizado para bloquear novas variantes.
O artigo completo, bem como todos os detalhes técnicos da operação do PipeMagic, você pode conferir no artigo oficial da Microsoft.
Quer acompanhar as principais descobertas sobre cibersegurança e malwares como o PipeMagic? Siga o TecMundo no X/Twitter, Instagram, Facebook, YouTube e TikTok.