AUG 18, 2025RAVIE Lakshmananvulnerabilidad / seguridad cibernética de seguridad en la nube han levantado la tapa de la explotación de los actores de amenaza de una falla de seguridad ahora parada en Microsoft Windows para desplegar el malware Pipemagic en los ataques de ransomware Ransomexx. Los ataques implican la explotación de CVE-2025-29824, una vulnerabilidad de escalada de privilegios que impacta el sistema de archivos de registro común de Windows (CLFS) que fue abordado por Microsoft en abril de 2025, dijeron Kaspersky y Bi.Zone en un informe conjunto publicado hoy. Pipemagic se documentó por primera vez en 2022 como parte de los ataques de ransomware Ransomexx dirigidos a compañías industriales en el sudeste asiático, capaz de actuar como una puerta trasera completa que proporciona acceso remoto y ejecutando una amplia gama de comandos en hosts comprometidos. En esos ataques, se ha encontrado que los actores de amenaza explotan CVE-2017-0144, una falla de ejecución de código remoto en Windows SMB, para infiltrarse en la infraestructura de víctimas. Las cadenas de infección posteriores observadas en octubre de 2024 en Arabia Saudita fueron vistos aprovechando una aplicación falsa de Operai Chatgpt como cebo para entregar el malware. A principios de abril, Microsoft atribuyó la explotación de CVE-2025-29824 y el despliegue de Pipemagic a un actor de amenaza que rastrea como Storm-2460. «Una característica única de Pipemagic es que genera una matriz aleatoria de 16 bytes utilizada para crear una tubería con nombre formateada como: \\. \ Pipe \ 1. «, dijeron los investigadores Sergey Lozhkin, Leonid Bezvershenko, Kirill Korchemny e Ilya Savelya. «Después de eso, se inicia un hilo que crea continuamente esta tubería, intenta leer datos y luego destruirlo. Este método de comunicación es necesario para que la puerta trasera transmita cargas y notificaciones cifradas». Pipemagic es un malware modular basado en complementos que utiliza un dominio alojado en el proveedor de Microsoft Azure Cloud para organizar los componentes adicionales, con 2025 ataques dirigidos a Arabia Saudita y Brasil que depende de un archivo de índice de ayuda de Microsoft («metafile.mshi») como un cargador. El cargador, a su vez, desempaqueta el código C# que descifra y ejecuta ShellCode integrado. «El código de shell-Code inyectado es un código ejecutable para sistemas de Windows de 32 bits», dijeron los investigadores. «Carga un ejecutable sin cifrar incrustado dentro del código de carcasa en sí». Kaspersky dijo que también descubrió artefactos de cargador Pipemagic disfrazados de un cliente de ChatGPT en 2025 que son similares a los vistos anteriormente en octubre de 2024. Se ha observado que las muestras aprovechan las técnicas de secuestro de DLL para ejecutar una DLL maliciosa que imita un archivo de actualización de Google Chrome («Googleupdate.dll). Independientemente del método de carga utilizado, todo conduce al despliegue del trasero Pipemagic que admite varios módulos: el módulo de comunicación asíncrona que admite cinco comandos para finalizar el complemento, leer/escribir archivos, terminar una operación de archivo o terminar el módulo de cargadores de operaciones de archivo para inyectar la carga adicional en la memoria en la memoria y ejecutarlos en el inyector de inyectores para lanzar un c.# ejecutable «la ejecución de todos los tibe de inyección de los inyectores de inaguelo. Las organizaciones en Arabia Saudita y su aparición en Brasil indican que el malware permanece activo y que los atacantes continúan desarrollando su funcionalidad «, dijeron los investigadores. «Las versiones detectadas en 2025 muestran mejoras sobre la versión 2024, destinadas a persistir en los sistemas de víctimas y moverse lateralmente dentro de las redes internas. En los ataques de 2025, los atacantes usaron la herramienta Procdump, renombrada a dllhost.exe, para extraer memoria del proceso LSASS».