.
Uma campanha de espionagem cibernética voltada para organizações em regiões ocupadas pela Rússia na Ucrânia está usando um novo malware para roubar dados, de acordo com a Kaspersky, fornecedora de software de infosec com sede na Rússia.
Em um relatório publicado terça-feira, os pesquisadores da Kaspersky detalharam as infecções, que usam um backdoor baseado em PowerShell que eles chamaram de “PowerMagic” e uma estrutura anteriormente desconhecida apelidada de “CommonMagic” que pode roubar arquivos de dispositivos USB, fazer capturas de tela a cada três segundos e enviar todos esses dados de volta para o invasor.
A Kaspersky diz que os bisbilhoteiros cibernéticos, que estão ativos desde pelo menos setembro de 2021, não compartilham infraestrutura, código ou outros vínculos diretos com grupos conhecidos de ameaças persistentes avançadas (APT). No entanto, as vítimas – organizações administrativas, agrícolas e de transporte localizadas nas regiões de Donetsk, Luhansk e Crimeia – e as iscas de phishing sugerem que esta campanha está relacionada à invasão ilegal russa da Ucrânia.
“A geopolítica sempre afeta o cenário de ameaças cibernéticas e leva ao surgimento de novas ameaças”, explicou Leonid Besverzhenko, pesquisador de segurança da Equipe Global de Pesquisa e Análise da Kaspersky, em um declaração. “Temos monitorado as atividades relacionadas ao conflito entre a Rússia e a Ucrânia há algum tempo, e esta é uma de nossas últimas descobertas.”
Embora o malware e as técnicas usadas pelos invasores “não sejam particularmente sofisticados”, o uso de armazenamento em nuvem para infraestrutura de comando e controle é notável, acrescentou Besverzhenko.
“Continuaremos nossa investigação e esperamos poder compartilhar mais informações sobre esta campanha”, disse ele.
A equipe de pesquisa detectou a infecção pela primeira vez em outubro de 2022 e suspeita que ela comece com um e-mail de spearphishing direcionando a vítima a uma URL que aponta para um arquivo .zip em um servidor da Web malicioso.
O arquivo contém dois arquivos. O primeiro é um documento falso, criado para induzir a vítima a pensar que o conteúdo é legítimo usando tópicos e títulos regionais. Há uma captura de tela na pesquisa da Kaspersky mostrando um desses documentos falsos do Word, intitulado “Resultados das eleições para a Duma na República da Crimeia”.
O segundo é o vilão: um arquivo .lnk malicioso que, quando aberto, infecta o dispositivo da vítima com o backdoor PowerMagic.
O backdoor se comunica com um servidor de comando e controle baseado em armazenamento em nuvem pública, executando comandos do servidor na máquina infectada e carregando os resultados de volta para a nuvem.
Ele usa as pastas OneDrive e Dropbox como transporte e tokens de atualização OAuth como credenciais, de acordo com a Kaspersky.
Os pesquisadores sugerem que o PowerMagic também implanta uma estrutura modular chamada CommonMagic. Até agora, eles descobriram dois plugins maliciosos sendo executados pelo framework. Uns[.]exe – tira screenshots a cada três segundos usando a API GDI, e o outro – U[.]exe – rouba arquivos de dispositivos USB conectados.
Segundo os pesquisadores, “a campanha ainda está ativa e nossa investigação continua”. Eles acreditam que “descobertas posteriores podem revelar informações adicionais sobre esse malware e o agente da ameaça por trás dele”. ®
.
