I ricercatori di Kaspersky hanno individuato due nuovi malware sfruttati per attività di cyberspionaggio. CommonMagic e PowerMagic sono stati utilizzati per colpire diverse aziende che operano nelle regioni di Donetsk, Lugansk e Crimea. Non è chiaro però se i cybercriminali siano legati al governo ucraino o russo. Gli attacchi sono ancora in corso, quindi verranno sicuramente scoperti ulteriori dettagli nelle prossime settimane.
Furto di dati con PowerMagic e CommonMagic
La catena di infezione di PowerMagic inizia con email di spear phishing. Nel messaggio è presente un link ad un archivio ZIP ospitato su vari siti. All’interno ci sono documenti Word, Excel o PDF e un file LNK. Quando l’ignara vittima clicca due volte sul file LNK viene scaricato ed eseguito un file MSI.
Il falso installer scarica ed esegue uno script PowerShell che crea un’attività pianificata ed esegue lo script manutil.vbs
, ovvero il loader della backdoor PowerMagic. L’utente vede il documento sullo schermo, mentre la backdoor comunica in background con il server C2 (command and control). I dati rubati vengono copiati su account Dropbox e OneDrive.
A questo punto è il turno di CommonMagic, un framework con diversi moduli, ognuno dei quali esegue una particolare attività, come la comunicazione con il server C2, la cattura di screenshot ogni 3 secondi e il furto di file con specifiche estensioni (.doc, .docx. .xls, .xlsx, .rtf, .odt, .ods, .zip, .rar, .txt e .pdf) dai drive USB collegati al computer.
Gli attacchi sono ancora in corso, quindi è meglio ridurre i rischi con l’installazione di una soluzione di sicurezza aggiornata che rileva e blocca questo tipo di minaccia.