Um malware anteriormente desconhecido em uma campanha APT rouba dados de empresas administrativas, agrícolas e de transporte nas regiões de Donetsk, Luhansk e Crimeia. O novo backdoor PowerMagic e a estrutura modular CommonMagic são usados.
Em outubro de 2022, os pesquisadores da Kaspersky descobriram uma campanha de Ameaça Persistente Avançada (APT) em andamento visando organizações na zona de guerra russo-ucraniana. Apelidada de 'CommonMagic' pela Kaspersky, a campanha de espionagem está ativa desde pelo menos setembro de 2021 e usa um malware anteriormente desconhecido para coletar dados de seus alvos. Os alvos incluem empresas administrativas, agrícolas e de transporte nas regiões de Donetsk, Luhansk e Crimeia.
Ataques Backdoor PowerMagic
Os ataques APT são executados usando um backdoor baseado em PowerShell chamado 'PowerMagic' e a nova estrutura maliciosa 'CommonMagic'. Este último permite roubar arquivos de dispositivos USB, coletar dados e encaminhá-los ao invasor. Além disso, a estrutura modular da estrutura permite adicionar atividades maliciosas por meio de novos módulos maliciosos.
O ataque provavelmente foi realizado inicialmente usando spear phishing ou métodos semelhantes. Os indivíduos visados foram direcionados para um URL, que por sua vez levou a um arquivo ZIP hospedado em um servidor malicioso. Este arquivo continha um arquivo malicioso que fornecia o backdoor do PowerMagic e um documento enganoso inofensivo projetado para induzir os afetados a acreditar que o conteúdo era legítimo. Os especialistas da Kaspersky descobriram vários desses arquivos falsos com títulos referentes a vários decretos de organizações relevantes na região.
Ações iniciadas por spear phishing
Depois que um usuário baixa o arquivo e clica no arquivo de link no arquivo, ele é infectado com o backdoor PowerMagic. O backdoor recebe comandos de uma pasta remota em um serviço de armazenamento em nuvem pública, executa os comandos enviados do servidor e carrega os resultados da execução de volta para a nuvem. Além disso, o PowerMagic se insere no sistema de tal forma que é iniciado toda vez que o dispositivo infectado é inicializado.
Neste momento, nenhuma correlação direta pode ser estabelecida entre o código usado nesta campanha e os dados de casos conhecidos anteriormente. No entanto, a campanha ainda está ativa e a análise está em andamento. Dada a vitimologia limitada e as iscas temáticas, é plausível que os atacantes tenham um interesse particular na situação geopolítica na região do conflito.
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/