Malware Common Magic e Power Magic Utilizzati in Attacchi di Sorveglianza Avanzati

I ricercatori della sicurezza della società di cybersecurity Kaspersky hanno trovato attacchi da parte di attori di minaccia avanzati che hanno utilizzato un framework precedentemente malevolo, mai visto prima, chiamato Common Magic e un nuovo backdoor, Power Magic.

Entrambi i malware sono stati utilizzati almeno da settembre 2021 e gli attacchi che continuano fino ad oggi prendono di mira i settori dell’agricoltura, dei trasporti e dell’amministrazione per motivi di sorveglianza.

Un ricercatore della società di cybersecurity menziona che gli attaccanti sono inclini a raccogliere dati dalla Crimea, Donetsk e Lugansk.

Quando il malware entra nella rete della vittima, gli attaccanti della minaccia Common Magic possono ora utilizzare plugin individuali per rubare file e documenti come – DOCX, ZIP, RAR, XLS, XLSX, RTF, ODS, ODT, PDF e altro dai dispositivi USB.

Il malware può anche catturare screenshot ogni tre secondi utilizzando l’API Windows Graphic Device Interface. Il ricercatore afferma che la direzione iniziale di infezione è il phishing o un metodo simile per consegnare un URL che punta a un archivio ZIP con un file LNK malevolo.

Un documento di inganno (XLSX, PDF, DOCX) nell’archivio reindirizza l’utente all’attività malevola che è iniziata in background quando il file LNK si è impersonato come PDF è stato avviato.

Secondo la società di sicurezza, l’attivazione del file LNK porterà a infettare il sistema con un backdoor PowerShell precedentemente sconosciuto che i ricercatori di sicurezza hanno chiamato Power Magic dopo una stringa trovata nel codice del malware.

Leggi: La funzione di compilazione automatica del gestore di password Bitwarden vulnerabile al furto di credenziali basato su iframe

Il backdoor interagisce con il comando e il server C2 per ricevere istruzioni e caricare i risultati utilizzando le cartelle Microsoft OneDrive e DropBox. Dopo l’infezione del Backdoor, i bersagli vengono infettati con Common Magic, che è un gruppo di strumenti malevoli sconosciuti che i ricercatori non avevano mai visto prima di queste operazioni.

Il malevolo Common Magic ha vari elementi che iniziano come eseguibili autonomi e utilizzano un pipe nominato per interagire.

Ora, secondo i ricercatori di sicurezza di Kaspersky, gli attaccanti hanno creato moduli esclusivi per i diversi compiti, ad esempio, per comunicare con il C2 per crittografare e decrittografare il traffico dal server di comando, rubando così documenti e file e catturando screenshot.

Non solo questo, ma lo scambio di dati avviene anche attraverso la cartella OneDrive, e i file vengono quindi crittografati utilizzando RC5Simple, una libreria open-source con una sequenza personalizzata – Hwo7X8p all’inizio della crittografia.

Detto ciò, il malware malevolo o la tecnica vista nel Common Magic non è difficile o qualcosa di innovativo. È stata osservata una serie di infezioni riguardanti file LNK malevoli nell’archivio ZIP con più attaccanti di minaccia.

Una tecnica simile è stata osservata nella campagna ChromeLoader che dipendeva da un LMK malevolo per eseguire uno script batch ed estrarre il contenuto del respiro ZIP per ottenere il payload finale.

Sebbene il più vicino al metodo Malicious CommandMagic sia un attaccante tracciato, YoroTrooper, che era impegnato in attività di cyberspionaggio utilizzando email di phishing che consegnavano file LNK malevoli e impersonavano documenti PDF contenuti in un archivio ZIP o RAR.

Nonostante l’approccio non convenzionale, il malware malevolo ha avuto un buon successo.

Sebbene il malware malevolo sembri essere iniziato nel 202. Secondo i ricercatori di sicurezza, gli attori di minaccia hanno intensificato le loro campagne lo scorso anno e continuano a farlo.

Leggi: Aggiornamento sulla sicurezza informatica di Fortinet fallisce; Zero-Day sfruttato da attori di minaccia