تحذير PipeMagic: خدعة ChatGPT الخبيثة الآن!

من غير مبالغة: الأخبار اللي طلعت عن PipeMagic مؤخرًا خطيرة جدًا. باكدور modular متطور اتنكر كنسخة مزيفة من تطبيق ChatGPT Desktop، وبيشتغل بالذاكرة عشان مايسيبش آثار ملفات واضحة - يعني صعب تلاقيه لو جهازك اتصاب.

التحليل التفصيلي صدر من مايكروسوفت وباحثين تانيين وبيأكدوا إن الحملة دي جزء من نشاط مجموعة تهديد ماليّة اسمهم Storm-2460، وإنها مرتبطة باستغلال ثغرة في نواة ويندوز (CLFS).

---

إزاي الخدعة دي بتشغّل نفسها؟ (بسيطة وخطيرة) ​

المهاجمين عملوا نسخة مزيفة لتطبيق ChatGPT Desktop (المشروع المفتوح المصدر على GitHub)، وعدّلوا فيها Dropper اللي:

• بيتفعّل أول ما تشغّل التطبيق،
• بيحمل باكدور في الذاكرة بدون ما يكتب ملفات واضحة على القرص،
• الباكور ده modular - يقدر يحمل وحدات جديدة ويشغّل أوامر مباشرة،
• ممكن يستغل ثغرات محلية (زي CVE-2025-29824 في CLFS اللي اتصححت في أبريل 2025) للصعود في الصلاحيات لو لزم.

يعني بدل ما تفتح شات ذكي، ممكن تفتح بوابة للمهاجم تدخله على جهازك وتسرق بيانات حساسة أو تنشر رانسوموير.

---

قدرات PipeMagic اللي لازم تخليك تقف وتتحرك فورًا ​

• تنفيذ أوامر بالذاكرة ورفع صلاحيات لو لقا ثغرات متاحة.
• سرقة بيانات من الذاكرة (زي كلمات سر من LSASS أو بيانات جلسات).
• التواصل المشفّر مع القاعدة عبر Named Pipes ومنافذ/عناوين محلية وهمية.
• تجاوز آليات الحماية زي AMSI عن طريق patch أو تقنيات إخفاء متقدمة.

الحملة لحد دلوقتي تم رصدها في مناطق زي أمريكا، أوروبا، الشرق الأوسط (بما فيها السعودية) وأمريكا الجنوبية، واستهدفت قطاعات مالية وتقنية وعقارية.

---

إزاي تكتشف لو جهازك مُصاب؟ (علامات سريعة) ​

لو لقيت أي حاجة من دول - خد الموضوع بجدية:

• ظهور عمليات غريبة اسمها MSBuild.exe أو certutil.exe بتشتغل من أماكن غير متوقعة أو بتعمل تحميلات. (الـ certutil/ msbuild بتستغلها مجموعات لتحميل أو تنفيذ أكواد).
• نشاط غير عادي في الذاكرة: عمليات بتحاول تقرأ من عملية LSASS أو عمليات بتحاول تعمل injection.
• Named pipes غريبة اللي اسمها نمط \\.\pipe\1.<hex> أو أنماط عشوائية مش مألوفة.
• اتصالات مشروعة مش متوقعة (منافذ داخلية مش مفهومة أو IPs محلية وهمية).
• تنبيهات EDR/AV متكررة أو تعطّل مفاجئ للـ AMSI أو Defender.

---

فحص سريع - أوامر تقدر تشغّلها دلوقتي (Windows) ​

نفّذ الأوامر دي لو أنت مسؤول جهاز/IT. لو مش متأكد، ابعت النتائج لفريق الأمان عندك قبل ما تغير حاجة.

1) شوف العمليات المشبوهة:​

# قائمة العمليات اللي اسمها msbuild أو certutil
Get-Process | Where-Object { $_.Name -match "msbuild|certutil" } | Format-Table Id,ProcessName,Path,StartTime

2) افتح اتصالات الشبكة:​

# عرض الاتصالات والمنفذات المرتبطة

netstat -ano | findstr /i "ESTABLISHED LISTENING"

3) شوف أسماء الـ Named Pipes (باستخدام Sysinternals - Handle.exe أو PowerShell):​

# لو ثبتت Sysinternals handle.exe
.\handle.exe -a | findstr /i "pipe"

# أو PowerShell (قائم على WMI)
Get-WmiObject -Namespace root\cimv2 -Class Win32_NamedPipe | Select Name

4) دير فحص للـ LSASS محليًا (كن حذر - لا توقف العملية):​

# اطبع عمليات تحاول فتح HANDLE على LSASS (قد تحتاج حقوق مرتفعة)
Get-Process | ForEach-Object {
  try {
    $open = $_.HandleCount
  } catch {}
}

5) راجع السجلات (Event Logs) عن عمليات استدعاء msbuild/certutil:​

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; StartTime=(Get-Date).AddDays(-2)} | Where-Object { $_.Message -match "msbuild|certutil|CreatePipe" } | Select TimeCreated, Id, Message

لو لقيت أي مؤشرات غريبة، اعزل الجهاز فورًا وصنّف الحادث كـ Incident.

---

إجراءات فورية لازم تعملها دلوقتي - Playbook مختصر ​

1. افصل الجهاز من الشبكة فورًا لو شُك في إصابة (Wi-Fi/cable).
2. جمع الأدلة: خُد PCAP قصير من نقطة موثوقة، وحافظ على ملفات الذاكرة (memory dump) لو تقدر بدون ما تعطل الجهاز.
3. افحص بعمق باستخدام EDR/forensics (Memory analysis، Autoruns، Process Explorer، Sysmon logs).
4. غيّر كلمات المرور الحساسة (لو فيه شك إنها اتسرقت) - خصوصًا لحسابات الـ Admin.
5. طبّق التصحيح (Patch): تأكد إن ويندوز محدث - الثغرة CLFS (CVE-2025-29824) اتصلحت في تحديث أبريل 2025؛ لو ما طبّشتش، عالج فورًا.
6. شغّل EDR في وضع الحظر (block mode) وفعل مزايا Tamper/Network protection في Defender لو متاحة.
7. استعد لسيناريو رانسوموير: جهز نسخ احتياطية منفصلة ومؤمنة بعيدًا عن الشبكة الأساسية.

---

الوقاية الطويلة الأجل (للمنازل والشركات) ​

للمستخدم العادي / المنزل:​

• انزل التطبيقات من المصادر الرسمية بس (Microsoft Store أو موقع OpenAI الرسمي). ما تنزلش نسخ Portable من يوتيوب/منتديات.
• فعل التحديث التلقائي للويندوز.
• فعل Defender + SmartScreen، واستخدم إضافة مضاد برمجيات احتياطية.
• نسخ احتياطي دوري خارجي أو سحابي.

للمؤسسات:​

• EDR / XDR: فعال لرصد الأنماط والسلوكيات المشبوهة (Named pipes، injection، anomalous loads).
• Zero Trust وLeast Privilege: قلّل صلاحيات المستخدمين وحمّل القيود على تنفيذ الـ binaries غير المصرّح بها.
• مراقبة استخدام أدوات النظام (msbuild, certutil, rundll32) عبر SIEM وSysmon.
• تطبيق التصحيح فورًا ومراقبة قوائم CVE المرتبطة.

---

نصايح عملية للفرق التقنية (DevOps / SysAdmin) ​

• حط سياسة لمنع تنفيذ برامج من مجلدات Download أو Temp.
• فعّل AppLocker / Windows Defender Application Control لمنع تنفيذ النسخ غير المصرّح بها.
• راقب تزايد عمليات إنشاء Named Pipes أو أنماط تواصل داخلية غير معتادة.
• درّب الفريق على إتباع playbook استجابة للـ in-memory threats وجمع الـ forensic evidence.

---

الخلاصة - مش تهاون ولا تجارب فضولية ​

الحكاية مش مزحة: PipeMagic مثال واضح إن الهاكرز دلوقتي بيستغلوا شهرة أدوات/تطبيقات معروفة عشان يغروا الضحايا. فضول تقني أو تحميل برنامج "مش رسمي" ممكن يكلفك شركتك أو بياناتك آلاف الدولارات لو بقت فدية.

لو لسه منزل أي نسخة مش رسمية من ChatGPT Desktop - امسحها فورًا، فكّر تعمل فحص كامل، وطبّق الخطوات اللي فوق. لو أنت مسؤول - شغّل EDR، حدث الأنظمة، وبلّغ فورًا لو لقيت مؤشر واحد مش طبيعي.