Pipemagic

A Microsoft Threat Intelligence revelou uma campanha de malware sofisticada, onde criminosos cibernéticos disfarçam um software malicioso como a popular aplicação de desktop ChatGPT para implantar ransomware em diversos setores ao redor do mundo. O malware, denominado PipeMagic, combina engenharia social com capacidades técnicas avançadas, visando organizações nos setores de TI, financeiro e imobiliário, especialmente nos Estados Unidos, Europa, América do Sul e Oriente Médio.

O PipeMagic explora uma vulnerabilidade crítica do Windows (CVE-2025-29824) para obter privilégios elevados. Os atacantes utilizam a ferramenta certutil para baixar arquivos MSBuild maliciosos de sites legítimos previamente comprometidos. Esses arquivos parecem ser a aplicação ChatGPT, mas contêm código malicioso que ativa o PipeMagic diretamente na memória, dificultando a detecção.

Pesquisadores de segurança descobriram uma campanha de ataque sofisticada em que atores de ameaças estão explorando Arquivos de Índice de Ajuda da Microsoft (.mshi) como um novo mecanismo de entrega para o backdoor PipeMagic. Essa campanha culmina na exploração da vulnerabilidade crítica CVE-2025-29824, que foi corrigida pela Microsoft em abril de 2025. Os atacantes utilizam um arquivo chamado ‘metafile.mshi’, que contém código C# ofuscado, para executar um payload malicioso através do utilitário MSBuild da Microsoft. Após a execução, o malware explora a vulnerabilidade CVE-2025-29824, que permite elevação de privilégios, e injeta cargas em processos do sistema, como winlogon.exe, para extrair credenciais. O ataque resulta na implantação de ransomware, com arquivos criptografados recebendo extensões aleatórias e notas de resgate sendo deixadas nos sistemas comprometidos. A Microsoft atribui essa atividade ao grupo de ameaças Storm-2460, que continua a adaptar suas táticas e a expandir seus métodos de entrega para evitar detecções.