Malware Comum e Malware Power Magic Usados em Ataques de Vigilância Avançada

Pesquisadores de segurança da empresa de cibersegurança Kaspersky encontraram ataques de atores de ameaças avançadas que utilizaram uma estrutura maliciosa previamente desconhecida, chamada Common Magic, e uma nova porta dos fundos, Power Magic.

Bem, ambos os malwares estão em uso desde pelo menos setembro de 2021, e os ataques que continuam até hoje visam os setores de agricultura, transporte e administrativo com o objetivo de vigilância.

Um pesquisador da empresa de cibersegurança menciona que os atacantes estão inclinados a coletar dados da Crimeia, Donetsk e Lugansk.

À medida que o malware entra na rede da vítima, os atacantes da ameaça Common Magic podem agora usar plugins individuais para roubar arquivos e documentos como – DOCX, ZIP, RAR, XLS, XLSX, RTF, ODS, ODT, PDF e mais de dispositivos USB.

O malware também pode tirar capturas de tela a cada três segundos usando a API do Windows Graphic Device Interface. O pesquisador diz que a direção inicial da infecção é phishing ou um método semelhante para entregar uma URL apontando para um arquivo ZIP com um arquivo LNK malicioso.

Um documento de isca (XLSX, PDF, DOCX) no arquivo redireciona o usuário para a atividade maliciosa que começou em segundo plano quando o arquivo LNK se fez passar por PDF foi lançado.

De acordo com a empresa de segurança, a ativação do arquivo LNK fará com que eles infectem o sistema com uma porta dos fundos PowerShell previamente desconhecida que os pesquisadores de segurança nomearam Power Magic após uma string que encontraram no código do malware.

Leia: O recurso de preenchimento automático do gerenciador de senhas Bitwarden vulnerável ao roubo de credenciais baseado em iframe

A porta dos fundos interage com o comando e o servidor C2 para obter instruções e enviar os resultados usando as pastas Microsoft OneDrive e DropBox. Após a infecção da porta dos fundos, os alvos são infectados com o Common Magic, que é um grupo de ferramentas maliciosas desconhecidas que os pesquisadores não haviam visto antes dessas operações.

O malicioso Common Magic possui vários elementos que começam como executáveis independentes e usam um pipe nomeado para interagir.

Agora, de acordo com os pesquisadores de segurança da Kaspersky, os atacantes criaram módulos exclusivos para as diferentes tarefas, por exemplo, para se comunicar com o C2 para criptografar e descriptografar o tráfego do servidor de comando, assim roubando documentos e arquivos e tirando capturas de tela.

Não só isso, mas a troca de dados também é feita através da pasta OneDrive, e os arquivos são então criptografados usando o RC5Simple, uma biblioteca de código aberto com uma sequência personalizada – Hwo7X8p no início da criptografia.

Dito isso, o malware malicioso ou a técnica vista no Common Magic não é difícil ou algo inovador. Uma série de infecções relacionadas a arquivos LNK maliciosos no arquivo ZIP foi observada com múltiplos atacantes de ameaças.

Uma técnica semelhante foi observada na campanha ChromeLoader que dependia de um LMK malicioso para executar um script em lote e extrair o conteúdo do respiratório ZIP para buscar a carga final.

Embora o mais próximo do método Malicious CommandMagic seja um atacante que foi rastreado, YoroTrooper, que estava envolvido em atividades de ciberespionagem usando e-mails de phishing que entregavam arquivos LNK maliciosos e se faziam passar por documentos PDF armazenados em um arquivo ZIP ou RAR.

Apesar da abordagem não convencional, o malware malicioso tem sido bastante bem-sucedido.

Embora o malware malicioso pareça ter começado em 202. De acordo com os pesquisadores de segurança, os atores de ameaça intensificaram suas campanhas no ano passado e ainda continuam a fazê-lo.

Leia: Atualização de Cibersegurança da Fortinet Falha; Zero-Day Explorada por Atores de Ameaça