PowerMagic

Pesquisas recentes expuseram uma nova campanha de ciberespionagem voltada para agências governamentais e outras organizações que operam em regiões da Ucrânia atualmente ocupadas pela Rússia. Esta campanha utiliza duas cepas de malware distintas e anteriormente desconhecidas, que foram apelidadas de PowerMagic e CommonMagic.

Os invasores empregam esses tipos de malware para furtar dados dos dispositivos visados pertencentes a entidades localizadas nas regiões de Donetsk, Lugansk e Crimeia. Os alvos desta campanha de espionagem incluem agências governamentais, bem como organizações agrícolas e de transporte.

Parece altamente provável que esta última campanha de ciberespionagem faça parte do maior conflito cibernético entre a Ucrânia e a Rússia, dado o conflito em curso na região.

Os Invasores Uusam E-Mails de Phishing e Documentos Falsos

Os invasores por trás desse incidente disseminaram malware empregando e-mails de phishing, que continham um hiperlink para um arquivo .zip hospedado em um servidor com intenção maliciosa.

O arquivo .zip era composto por dois arquivos: um documento que havia sido disfarçado para parecer um decreto oficial – com exemplos incluindo notificações relacionadas a eleições parlamentares na Crimeia ou planejamento orçamentário em Donetsk – bem como um arquivo .lnk malicioso. Ao ser aberto, esse arquivo .lnk iniciaria o malware e infectaria o dispositivo visado.

Na fase inicial do ataque, os hackers usaram um backdoor baseado em PowerShell chamado PowerMagic para se infiltrar no sistema.

O PowerMagic é Equipado com Vários Recursos Ameaçadores

Após um exame mais aprofundado do backdoor do PowerMagic, descobriu-se que a seção principal do backdoor é lida a partir do arquivo localizado em %APPDATA%\WinEventCom\config. Esse arquivo é então descriptografado por meio do uso de um algoritmo XOR simples.

Após a descriptografia, o backdoor entra em um loop infinito que se comunica continuamente com seu servidor designado de Comando e Controle (C&C). O backdoor então recebe comandos do servidor e responde com os resultados carregados.

Quando o PowerMagic estabelece com sucesso uma conexão com o servidor C&C, ele tem a capacidade de executar comandos arbitrários. Os resultados desses comandos executados são exfiltrados para serviços em nuvem, como Dropbox e Microsoft OneDrive.

No entanto, uma das principais tarefas do PowerMagic é entregar a estrutura CommonMagic de próximo estágio aos dispositivos infectados. CommonMagic é uma ferramenta maliciosa mais complicada, capaz de realizar tarefas específicas.