Распространенные вредоносные программы Common Magic и Power Magic, используемые в продвинутых атаках слежки

Исследователи безопасности из компании Kaspersky обнаружили атаки от продвинутых угроз, которые использовали ранее неизвестную вредоносную платформу под названием Common Magic и новую заднюю дверь, Power Magic.

Обе вредоносные программы используются как минимум с сентября 2021 года, и атаки, которые продолжаются до сих пор, нацелены на сельское хозяйство, транспорт и административные сектора с целью слежки.

Исследователь из компании кибербезопасности упоминает, что злоумышленники склонны собирать данные из Крыма, Донецка и Луганска.

Когда вредоносное ПО проникает в сеть жертвы, злоумышленники Common Magic могут использовать отдельные плагины для кражи файлов и документов, таких как – DOCX, ZIP, RAR, XLS, XLSX, RTF, ODS, ODT, PDF и другие с USB-устройств.

Вредоносное ПО также может делать снимки экрана каждые три секунды, используя API графического интерфейса Windows. Исследователь говорит, что первоначальное направление заражения – это фишинг или аналогичный метод доставки URL, указывающего на ZIP-архив с вредоносным LNK файлом.

Документ-обманка (XLSX, PDF, DOCX) в архиве перенаправляет пользователя на вредоносную активность, которая начинается в фоновом режиме, когда LNK файл, выдающий себя за PDF, запускается.

Согласно данным компании безопасности, активация LNK файла приведет к заражению системы ранее неизвестной задней дверью PowerShell, которую исследователи безопасности назвали Power Magic по строке, найденной в коде вредоносного ПО.

Читать: Уязвимость функции автозаполнения менеджера паролей Bitwarden к кражам учетных данных на основе iframe

Задняя дверь взаимодействует с командным сервером C2, чтобы получать инструкции и загружать результаты, используя папки Microsoft OneDrive и DropBox. После заражения задней дверью цели заражаются Common Magic, который представляет собой группу неизвестных вредоносных инструментов, которые исследователи не видели до этих операций.

Вредоносное ПО Common Magic имеет различные элементы, которые начинаются как отдельные исполняемые файлы и используют именованный канал для взаимодействия.

Теперь, согласно исследователям безопасности из Kaspersky, злоумышленники создали эксклюзивные модули для различных задач, например, для связи с C2, шифрования и расшифровки трафика с командного сервера, тем самым крадя документы и файлы и делая снимки экрана.

Не только это, но и обмен данными также осуществляется через папку OneDrive, а файлы затем шифруются с использованием RC5Simple, открытой библиотеки с пользовательской последовательностью – Hwo7X8p в начале шифрования.

Сказав это, вредоносное ПО или техника, наблюдаемая в Common Magic, не является сложной или чем-то инновационным. Наблюдалась цепочка инфекций, касающихся вредоносных LNK файлов в ZIP архиве, с участием нескольких злоумышленников.

Аналогичная техника была замечена в кампании ChromeLoader, которая зависела от вредоносного LMK для выполнения пакетного скрипта и извлечения содержимого ZIP-архива для получения конечного полезного груза.

Хотя ближайший к методу Malicious CommandMagic – это злоумышленник, отслеживаемый как YoroTrooper, который занимался кибершпионажем, используя фишинговые электронные письма, которые доставляли вредоносные LNK файлы и выдавали себя за PDF документы, находящиеся в ZIP или RAR архиве.

Несмотря на нестандартный подход, вредоносное ПО оказалось довольно успешным.

Хотя вредоносное ПО, похоже, начало свое существование в 2021 году. Согласно данным исследователей безопасности, злоумышленники усилили свои кампании в прошлом году и продолжают это делать.

Читать: Обновление кибербезопасности Fortinet не удалось; уязвимость нулевого дня использована злоумышленниками