הנחות רישוי רב
Threat Database Malware CommonMagic

CommonMagic

עד Mezo ב-Malware, Stealers
לתרגם ל:
עברית

חוקרי Infosec הצליחו לזהות קמפיין תקיפה באמצעות מסגרת תוכנה זדונית שלא הייתה ידועה בעבר נגד ארגונים ממגזרי מפתח באוקראינה, מה שמצביע בבירור על החלק הפעיל שלוחמת הסייבר ממשיכה לשחק כחלק מהמלחמה. הארגונים הממוקדים פועלים במגזרי הממשלה, החקלאות והתחבורה וממוקמים באזורי דונייצק, לוגנסק וקרים.

התקפות אלו כוללות מסגרת מודולרית חדשה בשם CommonMagic, שלא נראתה בעבר. נראה שהמסגרת נועדה לחדור ולשבש את הארגונים הממוקדים, עלולה לפגוע במידע רגיש ולשבש תשתית קריטית. עדיין לא ברור מי אחראי להתקפות הללו או מה עשויות להיות מטרותיהן הסופית. המצב מתמשך, וארגונים באזורים המושפעים צריכים לנקוט בצעדים לאבטחת הרשתות והמערכות שלהם מפני איומים פוטנציאליים.

שרשרת התקפה מורכבת מספקת את התוכנה הזדונית של CommonMagic

לדברי החוקרים, וקטור הפשרה הראשוני המדויק אינו ברור. עם זאת, הפרטים של השלב הבא של המתקפה מצביעים על כך ששחקני האיום עשויים להשתמש בדיוג בחנית או בטכניקות דומות.

ההתקפות עוקבות אחר דפוס מסוים שבו כתובת URL זדונית מוצגת לקורבנות ומשמשת להוביל אותם לארכיון ZIP המתארח בשרת אינטרנט שנפגע. כאשר קובץ ה-ZIP שנמסר נפתח, הוא מכיל מסמך פיתוי וקובץ LNK זדוני. בשלב הבא של המתקפה, דלת אחורית בשם PowerMagic נפרסת על המכשירים שנפרצו. הדלת האחורית מאפשרת לתוקף לקבל גישה למחשב של הקורבן ולבצע פעילויות זדוניות שונות, אך מטרתה העיקרית היא להביא ולפרוס את מסגרת התוכנה הזדונית CommonMagic, תוכנה זדונית הרבה יותר מיוחדת.

CommonMagic - מסגרת מאיימת שלא נראתה בעבר

כל הקורבנות שהושפעו מתוכנות זדוניות של PowerMagic התגלו כמי שנדבקו במסגרת זדונית הרבה יותר מורכבת ומתוחכמת, שזכתה לכינוי CommonMagic. CommonMagic כולל מודולי הפעלה שונים, שכולם מאוחסנים בספרייה הממוקמת בכתובת C:\ProgramData\CommonCommand. כל מודול מתחיל כקובץ הפעלה עצמאי ומתקשר עם האחרים באמצעות צינורות בעלי שם. המודולים תוכננו במיוחד לתקשורת עם שרת הפיקוד והבקרה (C&C), הצפנה ופענוח של תעבורת C&C וביצוע מספר פעולות זדוניות.

שניים מהמודולים שהתגלו עד היום מצוידים ביכולות לצלם צילומי מסך במרווחים של שלוש שניות ולאחזר קבצים מעניינים מכל התקני USB שמחוברים. המסגרת משתמשת בתיקיות מרוחקות של OneDrive כדי להעביר נתונים, וכל מידע שהוחלף בין התוקף והקורבן באמצעות OneDrive מוצפן באמצעות ספריית הקוד הפתוח RC5Simple.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...