Un malware previamente desconocido en una campaña APT roba datos de empresas administrativas, agrícolas y de transporte en las regiones de Donetsk, Lugansk y Crimea. Se utilizan el nuevo backdoor PowerMagic y el marco modular CommonMagic.
En octubre de 2022, los investigadores de Kaspersky descubrieron una campaña de amenazas persistentes avanzadas (APT) en curso dirigida a organizaciones en la zona de guerra ruso-ucraniana. Apodada 'CommonMagic' por Kaspersky, la campaña de espionaje ha estado activa desde al menos septiembre de 2021 y utiliza un malware previamente desconocido para recopilar datos de sus objetivos. Los objetivos incluyen empresas administrativas, agrícolas y de transporte en las regiones de Donetsk, Lugansk y Crimea.
Ataques PowerMagic de puerta trasera
Los ataques APT se ejecutan utilizando una puerta trasera basada en PowerShell llamada 'PowerMagic' y el nuevo marco malicioso 'CommonMagic'. Este último permite robar archivos de dispositivos USB, recopilar datos y reenviarlos al atacante. Además, la estructura modular del marco permite agregar actividades maliciosas a través de nuevos módulos maliciosos.
El ataque probablemente se llevó a cabo inicialmente mediante el uso de spear phishing o métodos similares. Las personas objetivo fueron dirigidas a una URL, que a su vez condujo a un archivo ZIP alojado en un servidor malicioso. Este archivo contenía un archivo malicioso que proporcionaba la puerta trasera de PowerMagic y un documento engañoso e inofensivo diseñado para engañar a los afectados haciéndoles creer que el contenido era legítimo. Los expertos de Kaspersky descubrieron una serie de estos archivos señuelo con títulos que hacen referencia a varios decretos de organizaciones relevantes en la región.
Acciones iniciadas por spear phishing
Una vez que un usuario descarga el archivo y hace clic en el enlace del archivo, se infecta con la puerta trasera de PowerMagic. La puerta trasera recibe comandos de una carpeta remota en un servicio de almacenamiento en la nube pública, ejecuta los comandos enviados desde el servidor y luego carga los resultados de la ejecución en la nube. Además, PowerMagic se integra en el sistema de tal manera que se inicia cada vez que se inicia el dispositivo infectado.
En este momento, no se puede establecer una correlación directa entre el código utilizado en esta campaña y los datos de casos conocidos anteriormente. Sin embargo, la campaña sigue activa y el análisis continúa. Dada la victimología limitada y los señuelos temáticos, es plausible que los atacantes tengan un interés particular en la situación geopolítica en la región del conflicto.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/