ChatGPT Desktop giả gieo rắc backdoor PipeMagic, mở cửa cho tấn công ransomware

2 giờ trướcBài gốc

Backdoor là loại phần mềm độc hại (malware) chuyên tạo lối truy cập bí mật để kẻ tấn công có thể điều khiển hệ thống từ xa, né tránh xác thực và bảo mật.

Ransomware là một loại phần mềm độc hại được thiết kế để khóa hoặc mã hóa dữ liệu/hệ thống của nạn nhân, sau đó kẻ tấn công đòi tiền chuộc (thường bằng tiền điện tử như Bitcoin) để khôi phục quyền truy cập.

Lỗ hổng zero-day là lỗ hổng bảo mật trong phần mềm, phần cứng hoặc hệ thống máy tính mà các nhà phát triển hoặc hãng sản xuất chưa biết đến và chưa có bản vá để khắc phục.

ChatGPT Desktop là ứng dụng máy tính để bàn cho phép người dùng sử dụng ChatGPT trực tiếp trên Windows, macOS hoặc Linux mà không cần mở trình duyệt web. Đây là dự án mã nguồn mở trên GitHub, do cộng đồng phát triển, không phải bản chính thức của OpenAI. GitHub là nền tảng dựa trên web được sử dụng để lưu trữ và quản lý các dự án phần mềm, cho phép nhiều lập trình viên cùng làm việc hiệu quả. Nền tảng này tích hợp hệ thống kiểm soát phiên bản Git (hệ thống kiểm soát phiên bản phân tán), giúp theo dõi mọi thay đổi trong mã nguồn.

Thông tin đáng chú ý về ChatGPT Desktop

- ChatGPT Desktop được viết bằng các framework như Electron, thường dùng để tạo ứng dụng desktop từ ứng dụng web.

Framework là tập hợp công cụ, thư viện, quy tắc, cấu trúc sẵn có được thiết kế để giúp lập trình viên hoặc hệ thống xây dựng và vận hành phần mềm dễ dàng hơn.

- Cung cấp giao diện gọn gàng, chạy ChatGPT như ứng dụng độc lập, hỗ trợ phím tắt, nhiều cửa sổ, lưu hội thoại…

- Vẫn cần tài khoản OpenAI để hoạt động.

Lưu ý

- Vì ChatGPT Desktop là mã nguồn mở, bất kỳ ai cũng có thể tải về, chỉnh sửa và phát hành lại. Chính vì thế, hacker đã lợi dụng, tạo ra bản ChatGPT Desktop giả mạo có nhúng phần mềm độc hại, cụ thể là PipeMagic.

- ChatGPT Desktop gốc trên GitHub mà Microsoft nhắc đến vẫn an toàn, nhưng nếu tải từ trang không chính thức thì có nguy cơ trúng phiên bản bị nhúng PipeMagic.

Giả dạng thành ứng dụng ChatGPT Desktop hợp pháp

Các nhà nghiên cứu an ninh mạng tại Microsoft đã phát hiện ra backdoor PipeMagic ở quá trình điều tra các cuộc tấn công lợi dụng lỗ hổng zero-day trong Windows CLFS (CVE-2025-29824). Điều khiến PipeMagic trở nên nguy hiểm là giả dạng thành ứng dụng ChatGPT Desktop mã nguồn mở hợp pháp, trong khi thực chất triển khai một framework để chạy các ransomware.

CVE-2025-29824 là mã định danh của một lỗ hổng bảo mật nghiêm trọng trong hệ thống file nhật ký chung của Windows, hay còn gọi là Windows CLFS (Common Log File System). Lỗ hổng này được xếp vào loại zero-day, tức bị kẻ tấn công khai thác trong thực tế trước khi Microsoft phát hiện và phát hành bản vá.

PipeMagic được xây dựng theo thiết kế mô đun, cho phép tải các thành phần khác nhau khi cần. Các mô đun này đảm nhiệm từ việc liên lạc chỉ huy - điều khiển đến thực thi payload (đoạn mã gây hại chính), đồng thời ẩn mình bằng các kênh pipe được mã hóa và hoạt động trong bộ nhớ. Bằng cách tách biệt chức năng như vậy, PipeMagic trở nên khó phát hiện hoặc phân tích hơn nhiều.

Kênh pipe trong hệ điều hành Windows hay Linux là cơ chế cho phép các tiến trình (process) trao đổi dữ liệu với nhau.

Cần lưu ý rằng dự án ChatGPT Desktop trên GitHub không độc hại. Vấn đề nằm ở chỗ kẻ tấn công đã sử dụng một bản sao ChatGPT Desktop chứa trojan, được chỉnh sửa bằng mã ẩn để phát tán PipeMagic.

Trojan là loại phần mềm độc hại được ngụy trang như chương trình hoặc file hợp pháp để đánh lừa người dùng cài đặt hoặc mở nó. Khi đã xâm nhập vào hệ thống, trojan không tự lây lan như vi rút, mà thường mở cửa hậu cho hacker để đánh cắp thông tin (mật khẩu, dữ liệu cá nhân, thông tin tài chính), cài đặt thêm phần mềm độc hại (mã độc) khác, điều khiển máy tính từ xa, phá hoại hoặc chiếm quyền hệ thống.

Microsoft cảnh báo ứng dụng ChatGPT Desktop giả đã được dùng để gieo rắc backdoor PipeMagic - Ảnh: Internet

PipeMagic gắn liền với nhóm Storm-2460

Microsoft tiết lộ PipeMagic gắn liền với Storm-2460, một nhóm tội phạm mạng hoạt động vì mục đích tài chính. Ở các chiến dịch gần đây, Storm-2460 đã kết hợp PipeMagic với lỗ hổng leo thang đặc quyền CVE-2025-29824 để tiến hành từ bước xâm nhập ban đầu đến triển khai ransomware.

Các cuộc tấn công không giới hạn ở một ngành hay khu vực cụ thể nào, với nạn nhân được xác định trong những tổ chức tài chính và bất động sản tại Mỹ, châu Âu, Nam Mỹ cùng Trung Đông.

Khi có quyền kiểm soát hệ thống cao nhất, Storm-2460 sẽ triển khai ransomware (ví dụ RansomEXX) để mã hóa các file của nạn nhân và yêu cầu tiền chuộc. Nhóm này còn thực hiện các hành vi độc hại khác như xóa nhật ký sự kiện và các bản sao lưu để cản trở việc khôi phục dữ liệu.

PipeMagic cho thấy các backdoor đã phát triển đến mức nào. Bằng cách kết hợp khai thác lỗ hổng zero-day với thiết kế mô đun, Storm-2460 đã xây dựng một công cụ có khả năng dễ dàng qua mặt các giải pháp phát hiện.

Lỗ hổng leo thang đặc quyền là một loại lỗ hổng bảo mật cho phép kẻ tấn công giành được quyền truy cập và kiểm soát cao hơn so với những gì họ được cấp ban đầu. Hãy tưởng tượng hệ thống máy tính như một tòa nhà. Mỗi người dùng có một chìa khóa khác nhau, mở được các phòng (tài nguyên và chức năng) tương ứng với vai trò của họ.

Một người dùng thông thường chỉ có chìa khóa để vào phòng làm việc của mình. Một quản trị viên có chìa khóa vạn năng, có thể vào bất kỳ phòng nào, kể cả phòng máy chủ.

Lỗ hổng leo thang đặc quyền giống một "lỗi" trong hệ thống khóa, cho phép người dùng thông thường tìm cách sao chép hoặc chế tạo chiếc chìa khóa vạn năng. Khi đó, họ có thể truy cập và thực hiện các hành động mà họ không được phép, chẳng hạn:

Cài đặt phần mềm độc hại.

Xóa hoặc thay đổi dữ liệu của người dùng khác.

Truy cập các file nhạy cảm.

Tạo thêm tài khoản quản trị viên mới.

Các loại lỗ hổng leo thang đặc quyền.

Có hai loại chính

Leo thang đặc quyền cục bộ (LPE): Xảy ra khi kẻ tấn công đã có quyền truy cập vào hệ thống (ví dụ đăng nhập với tư cách người dùng thông thường). Họ lợi dụng lỗ hổng trong hệ điều hành hoặc phần mềm để nâng đặc quyền của mình lên mức cao hơn, thường là mức system hoặc root (quyền cao nhất).

Leo thang đặc quyền từ xa (RPE): Xảy ra khi kẻ tấn công không cần có quyền truy cập ban đầu. Họ khai thác một lỗ hổng trong dịch vụ mạng để thực thi mã từ xa và giành được quyền quản trị trên hệ thống. Loại này thường nguy hiểm hơn vì kẻ tấn công có thể thực hiện từ bất kỳ đâu.

Hậu quả

Đây là một trong những loại lỗ hổng nguy hiểm nhất vì cho phép kẻ tấn công nắm toàn quyền kiểm soát hệ thống. Dù kẻ tấn công có thể cần kết hợp với các lỗ hổng khác để xâm nhập ban đầu, việc leo thang đặc quyền chính là bước cuối cùng để họ thực hiện các hành vi độc hại nghiêm trọng.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/chatgpt-desktop-gia-gieo-rac-backdoor-pipemagic-mo-cua-cho-tan-cong-ransomware-236424.html