Malware Común y Malware Power Magic Utilizados en Ataques de Vigilancia Avanzada

Los investigadores de seguridad de la firma de ciberseguridad Kaspersky encontraron ataques de actores de amenazas avanzadas que utilizaron un marco malicioso previamente desconocido, llamado Common Magic y una nueva puerta trasera, Power Magic.

Ambos malware han estado en uso desde al menos septiembre de 2021, y los ataques que han continuado hasta la fecha tienen como objetivo los sectores de agricultura, transporte y administrativo con fines de vigilancia.

Un investigador de la firma de ciberseguridad menciona que los atacantes de amenazas están inclinados a recopilar datos de Crimea, Donetsk y Lugansk.

A medida que el malware ingresa a la red de la víctima, los atacantes de amenazas de Common Magic pueden ahora usar complementos individuales para robar archivos y documentos como – DOCX, ZIP, RAR, XLS, XLSX, RTF, ODS, ODT, PDF y más de los dispositivos USB.

El malware también puede tomar capturas de pantalla cada tres segundos utilizando la API de Interfaz Gráfica de Dispositivos de Windows. El investigador dice que la dirección de infección inicial es phishing o un método similar para entregar una URL que apunta a un archivo ZIP con un archivo LNK malicioso.

Un documento de distracción (XLSX, PDF, DOCX) en el archivo redirige al usuario a la actividad maliciosa que comenzó en segundo plano cuando se lanzó el archivo LNK que se hizo pasar por PDF.

Según la firma de seguridad, la activación del archivo LNK hará que infecten el sistema con una puerta trasera de PowerShell previamente desconocida que los investigadores de seguridad nombraron Power Magic después de una cadena que encontraron en el código del malware.

Leer: La función de autocompletar del administrador de contraseñas Bitwarden vulnerable al robo de credenciales basado en iframe

La puerta trasera interactúa con el comando y el servidor C2 para obtener instrucciones y cargar los resultados utilizando las carpetas de Microsoft OneDrive y DropBox. Después de la infección de la puerta trasera, los objetivos son infectados con Common Magic, que es un grupo de herramientas maliciosas desconocidas que los investigadores no habían visto antes de estas operaciones.

El malicioso Common Magic tiene varios elementos que comienzan como ejecutables independientes y utilizan un tubo con nombre para interactuar.

Ahora, según los investigadores de seguridad de Kaspersky, los atacantes crearon módulos exclusivos para las diferentes tareas, por ejemplo, para comunicarse con el C2 para cifrar y descifrar el tráfico del servidor de comandos, robando así documentos y archivos y tomando capturas de pantalla.

No solo esto, sino que el intercambio de datos también se realiza a través de la carpeta de OneDrive, y los archivos se cifran utilizando RC5Simple, una biblioteca de código abierto con una secuencia personalizada – Hwo7X8p al inicio del cifrado.

Dicho esto, el malware malicioso o la técnica vista en Common Magic no es difícil ni algo innovador. Se ha observado una cadena de infecciones relacionadas con archivos LNK maliciosos en el archivo ZIP con múltiples atacantes de amenazas.

Se observó una técnica similar en la campaña ChromeLoader que dependía de un LMK malicioso para ejecutar un script por lotes y extraer el contenido del respiratorio ZIP para obtener la carga útil final.

Aunque el más cercano al método Malicious CommandMagic es un atacante que fue rastreado, YoroTrooper, quien estuvo involucrado en actividades de ciberespionaje utilizando correos electrónicos de phishing que entregaron archivos LNK maliciosos e impersonaron documentos PDF alojados en un archivo ZIP o RAR.

A pesar del enfoque no convencional, el malware malicioso ha tenido bastante éxito.

Aunque el malware malicioso parece haber comenzado en 202. Según los investigadores de seguridad, los actores de amenazas intensificaron sus campañas el año pasado y aún continúan haciéndolo.

Leer: Actualización de ciberseguridad de Fortinet falla; Exploit de día cero utilizado por actores de amenazas