Pesquisadores de segurança descobriram ataques de um ator de ameaças avançado que utilizava um "quadro malicioso não visto anteriormente" chamado CommonMagic e um novo backdoor chamado PowerMagic.
Ambas as peças de malware foram utilizadas desde pelo menos setembro de 2021 em operações que continuam até hoje e visam organizações nos setores administrativo, agrícola e de transporte para fins de espionagem.
Pesquisadores da empresa de cibersegurança Kaspersky afirmam que os hackers estão interessados em coletar dados de vítimas em Donetsk, Lugansk e na Crimeia.
Uma vez dentro da rede da vítima, os atacantes por trás da campanha de espionagem CommonMagic podem usar plugins separados para roubar documentos e arquivos (DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT, PDF) de dispositivos USB.
O malware usado também pode tirar screenshots a cada três segundos usando a API do Windows Graphics Device Interface (GDI).
Os pesquisadores acreditam que o vetor de infecção inicial é phishing direcionado ou um método similar para entregar um URL apontando para um arquivo ZIP com um arquivo LNK malicioso.
Um documento falso (PDF, XLSX, DOCX) no arquivo desvia o usuário-alvo da atividade maliciosa que começou em segundo plano quando o arquivo LNK disfarçado como PDF foi lançado.
A Kaspersky diz que ativar o LNK malicioso levaria à infecção do sistema com um backdoor baseado em PowerShell antes desconhecido que o pesquisador chamou de PowerMagic após uma sequência no código do malware.
O backdoor se comunica com o servidor de comando e controle (C2) para receber instruções e enviar resultados usando pastas do OneDrive e do Dropbox.
Após a infecção do PowerMagic, os alvos foram infectados com o CommonMagic, uma coleção de ferramentas maliciosas que os pesquisadores não tinham visto antes desses ataques.
O quadro CommonMagic possui vários módulos que começam como executáveis independentes e usam pipes nomeados para se comunicar.
A análise da Kaspersky revelou que os hackers criaram módulos dedicados para várias tarefas, desde interagir com o C2 até criptografar e descriptografar o tráfego do servidor de comando, roubar documentos e tirar screenshots.
A troca de dados com o C2 também é feita por meio de uma pasta do OneDrive e os arquivos são criptografados usando a biblioteca de código aberto RC5Simple com uma sequência personalizada - Hwo7X8p - no início da criptografia.
O malware ou os métodos vistos nos ataques do CommonMagic não são complexos ou inovadores.
Uma cadeia de infecção envolvendo arquivos LNK maliciosos em arquivos ZIP foi observada com vários atores de ameaças.
A empresa de resposta a incidentes Security Joes anunciou no mês passado a descoberta de um novo backdoor chamado IceBreaker que foi entregue a partir de um LNK malicioso em um arquivo ZIP.
Um método similar foi visto em uma campanha ChromeLoader que dependia de um LNK malicioso para executar um script em lote e extrair o conteúdo de um contêiner ZIP para buscar o payload final.
No entanto, o mais próximo da técnica do CommonMagic é um ator de ameaças que a Cisco Talos rastreia como YoroTrooper, que se envolveu em atividades de ciberespionagem usando e-mails de phishing que entregavam arquivos LNK maliciosos e documentos PDF falsos contidos em um arquivo ZIP ou RAR.
Apesar da abordagem não costumeira, no entanto, o método do CommonMagic provou ser bem-sucedido, afirma a Kaspersky.
Os pesquisadores descobriram uma infecção ativa em outubro do ano passado, mas rastrearam alguns ataques desse ator de ameaças tão antigos quanto setembro de 2021.
Leonid Besverzhenko, pesquisador de segurança da equipe global de pesquisa e análise da Kaspersky, disse ao BleepingComputer que o backdoor PowerMagic e o quadro CommonMagic foram usados em dezenas de ataques.
Embora a atividade do CommonMagic pareça ter começado em 2021, Besverzhenko diz que o adversário intensificou seus esforços no ano passado e continua ativo até hoje.
Ao combinar técnicas pouco sofisticadas que foram usadas por vários atores e código malicioso original, os hackers conseguiram tornar impossível uma conexão com outras campanhas neste momento.
Um porta-voz da Kaspersky disse ao BleepingComputer que "a limitada victimologia e as iscas temáticas do conflito russo-ucraniano sugerem que os atacantes provavelmente têm um interesse específico na situação geopolítica daquela região".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...