CommonMagic

Os pesquisadores da Infosec conseguiram identificar uma campanha de ataque usando uma estrutura de malware anteriormente desconhecida contra organizações de setores-chave na Ucrânia, indicando claramente o papel ativo que a guerra cibernética continua a desempenhar como parte da guerra. As organizações visadas operam nos setores governamental, agrícola e de transporte e estão localizadas nas regiões de Donetsk, Lugansk e Crimeia.

Esses ataques envolvem uma nova estrutura modular chamada CommonMagic, que nunca foi vista antes. A estrutura parece ter sido projetada para se infiltrar e interromper as organizações visadas, potencialmente comprometendo informações confidenciais e interrompendo a infraestrutura crítica. Ainda não está claro quem é o responsável por esses ataques ou quais podem ser seus objetivos finais. A situação está em andamento e as organizações nas áreas afetadas devem tomar medidas para proteger suas redes e sistemas contra possíveis ameaças.

Uma Cadeia de Ataque Complexa Oferece o Malware CommonMagic

De acordo com os pesquisadores, o vetor de comprometimento inicial exato não é claro. No entanto, os detalhes da próxima etapa do ataque indicam que o spear phishing ou técnicas semelhantes podem ser usadas pelos agentes da ameaça.

Os ataques seguem um padrão específico em que uma URL maliciosa é apresentada às vítimas e é usada para conduzi-las a um arquivo ZIP hospedado em um servidor da Web comprometido. Quando o arquivo ZIP entregue é aberto, ele contém um documento chamariz e um arquivo LNK malicioso. Na próxima fase do ataque, um backdoor chamado PowerMagic é implantado nos dispositivos violados. O backdoor permite que o invasor obtenha acesso ao computador da vítima e realize várias atividades maliciosas, mas seu objetivo principal é buscar e implantar a estrutura de malware CommonMagic, um software malicioso muito mais especializado.

CommonMagic - Uma Estrutura Ameaçadora Nunca Antes Vista

Descobriu-se que todas as vítimas afetadas pelo malware PowerMagic foram infectadas por uma estrutura maliciosa muito mais complexa e sofisticada, chamada de CommonMagic. O CommonMagic compreende vários módulos executáveis, todos armazenados em um diretório localizado em C:\ProgramData\CommonCommand. Cada módulo inicia como um arquivo executável independente e se comunica com os outros por meio de pipes nomeados. Os módulos são projetados especificamente para comunicação com o servidor de Comando e Controle (C&C), criptografia e descriptografia do tráfego C&C e execução de várias ações maliciosas.

Dois dos módulos descobertos até o momento estão equipados com recursos para capturar imagens em intervalos de três segundos e recuperar arquivos de interesse de qualquer dispositivo USB conectado. A estrutura usa pastas remotas do OneDrive para transportar dados, e todos os dados trocados entre o invasor e a vítima via OneDrive são criptografados usando a biblioteca de código aberto RC5Simple.