بدافزار چت جی‌پی‌تی جعلی برای حملات باج‌افزاری

به گزارش کارگروه امنیت خبرگزاری سایبربان، این شرکت روز دوشنبه تحلیلی مفصل از پایپ مجیک (PipeMagic) منتشر کرد؛ درِ پشتی‌ای که توسط یک عامل تهدید موسوم به طوفان-2460 (Storm-2460) استفاده می‌شود.

گفته می‌شود این گروه، بدافزار را به‌عنوان بخشی از بهره‌برداری از یک آسیب‌پذیری روز صفر که در ماه آوریل افشا شده بود، به کار گرفته است.

پس از سوءاستفاده از این حفره، گروه اقدام به اجرای باج‌افزار می‌کند.

مایکروسافت اعلام کرد که مشاهده کرده است طوفان-2460 چندین بخش و منطقه‌ی جغرافیایی را هدف قرار داده، از جمله حوزه‌های فناوری اطلاعات، مالی و املاک در ایالات متحده، اروپا، آمریکای جنوبی و خاورمیانه.

مایکروسافت در این تحلیل نوشت:

هرچند دامنه‌ی سازمان‌های قربانی محدود است، اما استفاده از یک اکسپلویت روز صفر همراه با یک درِ پشتی ماژولار و پیشرفته برای اجرای باج‌افزار، این تهدید را به‌طور ویژه‌ای مهم و قابل توجه می‌کند.

این مطالعه، گزارش‌های شرکت امنیت سایبری کسپرسکی (Kaspersky) را نیز تأیید می‌کند.

کسپرسکی در ماه اکتبر گفته بود مجرمان سایبری از یک اپلیکیشن جعلی چت جی‌پی‌تی (ChatGPT) به‌عنوان طعمه برای نصب این درِ پشتی علیه نهادهایی در آسیا و عربستان سعودی استفاده کرده‌اند.

کسپرسکی پیش‌تر توضیح داده بود که این بدافزار امکان سرقت اطلاعات حساس را برای مهاجمان فراهم کرده و دسترسی از راه دور به دستگاه‌های آلوده را می‌دهد.

کسپرسکی نخستین بار در سال ۲۰۲۲ استفاده از پایپ مجیک را در حملاتی علیه سازمان‌هایی در آسیا مشاهده کرد و سپس بازگشت دوباره‌ی این ابزار را در سپتامبر ۲۰۲۴ گزارش داد.

زمانی که اپلیکیشن مخرب چت جی‌پی‌تی باز می‌شود، قربانیان تنها یک صفحه‌ی خالی بدون هیچ رابط کاربری قابل مشاهده‌ای می‌بینند.

پژوهشگران شرکت ایست (ESET)، آسیب‌پذیری متناظر با این حملات را در مارس کشف کردند که با کد CVE-2025-29824 پیگیری می‌شود.

این حفره مربوط به درایور Windows Common Log File System (CLFS) است که اغلب هدف گروه‌های باج‌افزاری قرار می‌گیرد.

این چارچوب لاگ‌گذاری نخستین بار در Windows Server 2003 R2 معرفی شد و سپس در نسخه‌های بعدی ویندوز گنجانده شد.

این ابزار به کاربران اجازه می‌دهد مجموعه‌ای از مراحل لازم برای انجام برخی عملیات را ثبت کنند تا بتوان آن‌ها را با دقت بازتولید یا لغو کرد.

مایکروسافت در هشدار روز دوشنبه اعلام کرد که پایپ مجیک یک ابزار بدافزاری پیچیده است که انعطاف‌پذیری و ماندگاری را برای هکرها در سیستم قربانی فراهم می‌کند.

طراحی این بدافزار کشف آن را دشوار کرده و تیم هوش تهدید مایکروسافت گفته است که هنگام بررسی بهره‌برداری از همان روز صفر، به پایپ مجیک برخورد کرده‌اند.

هکرها از نسخه‌ی تغییر یافته‌ای از پروژه‌ی متن‌باز چت جی‌پی‌تی در گیت‌هاب استفاده می‌کنند که حاوی کدی مخرب برای رمزگشایی و اجرای یک محموله‌ی جاسازی‌شده است.

مایکروسافت افزود:

به‌محض فعال شدن پایپ مجیک، عامل تهدید اکسپلویت CLFS را برای افزایش سطح دسترسی اجرا کرده و سپس باج‌افزار خود را راه‌اندازی می‌کند.

مایکروسافت نگفت که کدام گونه‌ی باج‌افزار در این حملات به کار گرفته شده است.

کسپرسکی در پست جدید وبلاگ خود در روز دوشنبه نوشت پایپ مجیک در کنار یک کمپین باج‌افزاری به نام رنسوم اکس (RansomExx) مشاهده شده است.

شرکت امنیتی سیمانتک (Symantec) نیز در ماه می اعلام کرده بود که عاملانی مرتبط با گروه باج‌افزاری پلی (Play) نیز از همین آسیب‌پذیری CVE-2025-29824 در حملات خود استفاده کرده‌اند.