Uma vulnerabilidade crítica no Microsoft Windows, já corrigida, foi usada por cibercriminosos para espalhar o malware PipeMagic, uma ameaça associada a campanhas do ransomware RansomExx. A descoberta foi feita por especialistas das empresas de cibersegurança Kaspersky e BI.ZONE, que divulgaram um relatório detalhado sobre o caso.
A falha, catalogada como CVE-2025-29824, permitia a elevação de privilégios por meio do sistema de arquivos CLFS (Common Log File System) do Windows. A Microsoft liberou o patch de correção em abril de 2025.
Como o PipeMagic Opera
Identificado inicialmente em 2022, o PipeMagic é um malware do tipo backdoor completo, que possibilita controle remoto total sobre sistemas infectados. Na época, era usado em ataques a empresas industriais no Sudeste Asiático, explorando a vulnerabilidade CVE-2017-0144 no protocolo SMB do Windows.
Em ataques mais recentes, como os registrados em outubro de 2024 na Arábia Saudita, hackers usaram um aplicativo falso do ChatGPT como vetor de infecção. Em 2025, casos semelhantes ocorreram também no Brasil.
A Microsoft atribui a exploração da falha ao grupo de hackers identificado como Storm-2460. O diferencial do PipeMagic está em seu uso de um canal exclusivo chamado “named pipe”, que transporta cargas criptografadas e comandos de controle, mantendo o malware ativo de forma discreta.
Técnicas Avançadas de Invasão e Persistência
O PipeMagic é modular e utiliza infraestrutura em nuvem da Microsoft Azure para baixar e ativar componentes adicionais. Em ataques recentes, o carregamento do malware foi feito via um arquivo de índice de ajuda da Microsoft (“metafile.mshi”), que contém código em C# responsável por decodificar e executar um shellcode malicioso.
Investigadores da Kaspersky também detectaram amostras do carregador disfarçadas como cliente falso do ChatGPT, que utilizam a técnica de DLL hijacking. Essas versões maliciosas simulam atualizações do Google Chrome para enganar os usuários.
Entre as funcionalidades do backdoor PipeMagic estão:
-
Execução e finalização de processos e arquivos.
-
Injeção de código malicioso diretamente na memória.
-
Execução de softwares adicionais sob controle dos invasores.
Além disso, versões recentes do malware exibem melhorias na persistência, capacidade de movimentação lateral em redes corporativas e o uso de ferramentas como o ProcDump (renomeado como “dllhost.exe”) para coletar dados sensíveis do processo LSASS, que armazena credenciais do sistema.
PipeMagic Continua Ativo e em Expansão Global
A presença do PipeMagic em ataques na Arábia Saudita e no Brasil indica que a ameaça segue em evolução. Os cibercriminosos estão aprimorando suas táticas para contornar sistemas de segurança, mantendo o malware invisível e altamente eficaz.
Especialistas recomendam que empresas mantenham seus sistemas atualizados com os patches mais recentes, reforcem políticas de segurança e monitorem comportamentos suspeitos em redes e endpoints.
