PowerMagic

Investigacions recents han exposat una nova campanya de ciberespionatge dirigida a les agències governamentals i altres organitzacions que operen a les regions d'Ucraïna que actualment estan ocupades per Rússia. Aquesta campanya utilitza dues varietats de programari maliciós diferents i desconegudes anteriorment, que s'han batejat com PowerMagic i CommonMagic.

Els atacants utilitzen aquestes varietats de programari maliciós per robar dades dels dispositius dirigits que pertanyen a entitats ubicades a les regions de Donetsk, Lugansk i Crimea. Els objectius d'aquesta campanya d'espionatge inclouen agències governamentals, així com organitzacions agrícoles i de transport.

Sembla molt probable que aquesta darrera campanya de ciberespionatge formi part del conflicte cibernètic més gran entre Ucraïna i Rússia, atès el conflicte en curs a la regió.

Els atacants utilitzen correus electrònics de pesca i documents d'engany

Els atacants darrere d'aquest incident van difondre programari maliciós mitjançant l'ús de correus electrònics de pesca, que contenien un hiperenllaç a un arxiu .zip allotjat en un servidor amb intenció maliciosa.

L'arxiu .zip estava format per dos fitxers: un document que havia estat disfressat per aparèixer com a decret oficial, amb exemples que inclouen notificacions relacionades amb eleccions parlamentàries a Crimea o planificació pressupostària a Donetsk, així com un fitxer .lnk maliciós. En obrir-se, aquest fitxer .lnk iniciaria el programari maliciós i infectaria el dispositiu de destinació.

En la fase inicial de l'atac, els pirates informàtics van utilitzar una porta posterior basada en PowerShell anomenada PowerMagic per infiltrar-se al sistema.

PowerMagic està equipat amb múltiples capacitats d'amenaça

Després d'un examen posterior de la porta posterior de PowerMagic, es va descobrir que la secció principal de la porta posterior es llegeix des del fitxer situat a %APPDATA%\WinEventCom\config. A continuació, aquest fitxer es desxifra mitjançant l'ús d'un algorisme XOR senzill.

Després del desxifrat, la porta del darrere entra en un bucle infinit que es comunica contínuament amb el servidor de comandament i control (C&C) designat. Aleshores, la porta posterior rep ordres del servidor i respon amb els resultats carregats.

Quan el PowerMagic estableix correctament una connexió amb el servidor C&C, té la capacitat d'executar ordres arbitràries. Els resultats d'aquestes ordres executades s'exfiltran a serveis al núvol com Dropbox i Microsoft OneDrive.

Tanmateix, una de les tasques principals de PowerMagic és oferir el marc CommonMagic de la següent etapa als dispositius infectats. CommonMagic és una eina maliciosa més complicada capaç de realitzar tasques específiques.