Malware Commun et Malware Power Magic Utilisés dans des Attaques de Surveillance Avancées

Les chercheurs en sécurité de la société de cybersécurité Kaspersky ont découvert des attaques provenant d’acteurs de menaces avancées qui ont utilisé un cadre malveillant auparavant inconnu, nommé Common Magic, et une nouvelle porte dérobée, Power Magic.

Eh bien, les deux malwares sont en usage depuis au moins septembre 2021, et les attaques qui se poursuivent à ce jour ciblent les secteurs de l’agriculture, des transports et de l’administration à des fins de surveillance.

Un chercheur de la société de cybersécurité mentionne que les attaquants sont enclins à collecter des données en provenance de la Crimée, de Donetsk et de Louhansk.

Lorsque le malware pénètre dans le réseau de la victime, les attaquants de Common Magic peuvent désormais utiliser des plugins individuels pour voler des fichiers et des documents tels que – DOCX, ZIP, RAR, XLS, XLSX, RTF, ODS, ODT, PDF et plus depuis les dispositifs USB.

Le malware peut également prendre des captures d’écran toutes les trois secondes en utilisant l’API Windows Graphic Device Interface. Le chercheur indique que la direction d’infection initiale est le phishing ou une méthode similaire pour livrer une URL pointant vers une archive ZIP contenant un fichier LNK malveillant.

Un document leurre (XLSX, PDF, DOCX) dans l’archive redirige l’utilisateur vers l’activité malveillante qui a commencé en arrière-plan lorsque le fichier LNK s’est présenté comme un PDF a été lancé.

Selon la société de sécurité, l’activation du fichier LNK les amènera à infecter le système avec une porte dérobée PowerShell auparavant inconnue que les chercheurs en sécurité ont nommée Power Magic d’après une chaîne qu’ils ont trouvée dans le code du malware.

Lire: La fonctionnalité de remplissage automatique du gestionnaire de mots de passe Bitwarden vulnérable au vol de données d’identification basé sur iframe

La porte dérobée interagit avec le serveur de commande et C2 pour obtenir des instructions et télécharger les résultats en utilisant les dossiers Microsoft OneDrive et DropBox. Après l’infection de la porte dérobée, les cibles sont infectées par Common Magic, qui est un groupe d’outils malveillants inconnus que les chercheurs n’avaient pas vus avant ces opérations.

Le malveillant Common Magic a divers éléments qui commencent comme des exécutables autonomes et utilisent un pipe nommé pour interagir.

D’après les chercheurs en sécurité de Kaspersky, les attaquants ont créé des modules exclusifs pour différentes tâches, par exemple, pour communiquer avec le C2 pour chiffrer et déchiffrer le trafic du serveur de commande, ainsi que pour voler des documents et des fichiers et prendre des captures d’écran.

Non seulement cela, mais l’échange de données se fait également via le dossier OneDrive, et les fichiers sont ensuite chiffrés à l’aide de RC5Simple, une bibliothèque open-source avec une séquence personnalisée – Hwo7X8p au début du chiffrement.

Cela dit, le malware malveillant ou la technique observée dans Common Magic n’est pas difficile ou quelque chose d’innovant. Une série d’infections concernant des fichiers LNK malveillants dans l’archive ZIP a été observée avec plusieurs attaquants de menaces.

Une technique similaire a été observée dans la campagne ChromeLoader qui dépendait d’un LMK malveillant pour exécuter un script batch et extraire le contenu du répertoire ZIP pour récupérer la charge utile finale.

Bien que le plus proche de la méthode Malicious CommandMagic soit un attaquant qui a été suivi, YoroTrooper, qui était engagé dans une activité de cyberspying en utilisant des e-mails de phishing qui livraient des fichiers LNK malveillants et se faisaient passer pour des documents PDF contenus dans une archive ZIP ou RAR.

Malgré l’approche non conventionnelle, le malware malveillant a été assez réussi.

Bien que le malware malveillant semble avoir commencé en 202. Selon les chercheurs en sécurité, les acteurs de la menace ont intensifié leurs campagnes l’année dernière et continuent de le faire.

Lire: La mise à jour de cybersécurité de Fortinet échoue ; une vulnérabilité zero-day exploitée par des acteurs de menace