Una recente vulnerabilità di Microsoft Windows è stata sfruttata da cybercriminali per distribuire il malware PipeMagic, utilizzato in attacchi ransomware RansomExx. Questa minaccia si basa sull’exploit della falla CVE-2025-29824, una vulnerabilità di escalation dei privilegi nel sistema Windows Common Log File System (CLFS). Microsoft ha corretto il problema nell’aprile 2025, ma i ricercatori hanno osservato che diversi attacchi, in particolare in Arabia Saudita e Brasile, hanno continuato a utilizzare questa falla per compromettere le infrastrutture aziendali.

PipeMagic era già noto dal 2022 come backdoor modulare, capace di eseguire comandi da remoto e fornire accesso completo ai sistemi infetti. Le ultime campagne sfruttano metodi sofisticati di infezione, come l’uso di una finta app ChatGPT di OpenAI e tecniche di DLL hijacking, mascherando i file dannosi come aggiornamenti di Google Chrome per eludere i controlli di sicurezza. In particolare, il malware PipeMagic viene caricato tramite un file Microsoft Help Index ("metafile.mshi"), che esegue codice C# in grado di decriptare e lanciare shellcode malevolo.

Meccanismo di comunicazione e tecniche evasive

Uno degli aspetti più pericolosi di PipeMagic è il suo meccanismo di comunicazione: utilizza pipe nominate generate casualmente per trasmettere payload cifrati e notifiche tra i moduli del malware e il server di comando (C2). Tutti i payload vengono gestiti esclusivamente in memoria, sfruttando una lista doppiamente collegata per non lasciare tracce su disco, rendendo il rilevamento e l’analisi estremamente complessi.

Architettura modulare e propagazione

L’architettura di PipeMagic è altamente modulare: include un modulo di comunicazione asincrona che gestisce comandi di lettura e scrittura file, loader per ulteriori payload, e moduli injector per eseguire codice C#. La sua flessibilità permette agli attaccanti di adattare rapidamente le tecniche e mantenere il controllo anche in ambienti difesi. Gli attacchi attribuiti al gruppo Storm-2460 hanno colpito settori IT, finanziari e immobiliari, diffondendosi dagli Stati Uniti all’Europa, Sud America e Medio Oriente.

Miglioramenti, persistenza e raccomandazioni difensive

Le versioni più recenti di PipeMagic mostrano miglioramenti nella persistenza e nella capacità di muoversi lateralmente nelle reti aziendali. Gli attaccanti utilizzano strumenti come ProcDump, rinominati per mascherare le operazioni e sottrarre credenziali di sistema. La natura stealth e l’estensibilità della minaccia rappresentano una sfida per le aziende, che devono restare aggiornate sulle patch di sicurezza Microsoft e rafforzare i sistemi di monitoraggio delle attività sospette per difendersi da questa evoluta famiglia di malware.