Pesquisadores da Microsoft Threat Intelligence destrincharam um trojan modular chamado PipeMagic. O grupo publicou um artigo detalhando a ameaça, que seria utilizada por motivos financeiros pelo coletivo identificado como Storm-2460 e é constituído por uma elaborada estrutura que permite manutenibilidade, correções e atualizações, mesmo após a instalação.

Como funciona o PipeMagic?

O PipeMagic já foi registrado em várias campanhas do Storm-2460. Ele chega ao dispositivo em um pacote embrulhado em um arquivo MSBuild, que executa o código diretamente na memória. A partir daí, o malware dispara um exploit no Common Log File System (CLFS) para obter privilégios mais altos e liberar o ransomware.

No cenário mais recente, a infecção se dá por meio de um falso aplicativo open-source do ChatGPT para Desktop. 

• Apesar de se passar por uma versão legítima, ele carrega o PipeMagic entre seus arquivos, descriptografa o código malicioso e executa sua carga na memória.
• Uma vez ativo, o trojan se conecta a servidores de comando e controle (C2) usando o protocolo TCP. 
• Os módulos chegam em pacotes enviados pelo servidor e são carregados diretamente na memória. 
• Para se manter ativo, o PipeMagic cria canais de comunicação com múltiplos nomes nomeados duplamente, o que dificulta sua detecção.

Essa arquitetura modular permite ao malware ser atualizado remotamente, renomeado para evitar bloqueios e receber novas funções de forma contínua. O PipeMagic, assim, garante maior persistência e flexibilidade nos sistemas comprometidos.

Vale lembrar que a ameaça não é inédita. O PipeMagic Trojan foi originalmente descoberto pela equipe GReAT, da Kaspersky, em outubro de 2024. Mais tarde, em maio de 2025, ele também foi reportado pela ESET Research.

O que o PipeMagic faz?

Como todo trojan, a principal função do PipeMagic é abrir portas para outros malwares. Mesmo assim, ele coleta informações estratégicas da máquina infectada. Entre os dados capturados estão a versão do sistema operacional, o nome do computador, o nome de domínio do usuário e o diretório de instalação, além de outros elementos que ajudam a sustentar a operação criminosa.

Como se proteger?

• Evite baixar aplicativos de fontes não oficiais, mesmo que se apresentem como "open-source".
• Desconfie de programas que imitam apps legítimos e conhecidos.
• Mantenha seu software antivírus sempre atualizado para bloquear novas variantes.

O artigo completo, bem como todos os detalhes técnicos da operação do PipeMagic, você pode conferir no artigo oficial da Microsoft.

• Confira: Ministério Público prende quadrilha especializada em golpe do boleto falso

Quer acompanhar as principais descobertas sobre cibersegurança e malwares como o PipeMagic? Siga o TecMundo no X/Twitter, Instagram, Facebook, YouTube e TikTok.