ComúnMagia

Los investigadores de Infosec lograron identificar una campaña de ataque utilizando un marco de malware previamente desconocido contra organizaciones de sectores clave en Ucrania, lo que indica claramente el papel activo que la guerra cibernética continúa desempeñando como parte de la guerra. Las organizaciones seleccionadas operan en los sectores de gobierno, agricultura y transporte y están ubicadas en las regiones de Donetsk, Lugansk y Crimea.

Estos ataques involucran un nuevo marco modular llamado CommonMagic, que no se había visto antes. El marco parece estar diseñado para infiltrarse e interrumpir las organizaciones objetivo, lo que podría comprometer la información confidencial e interrumpir la infraestructura crítica. Aún no está claro quién es el responsable de estos ataques o cuáles pueden ser sus objetivos finales. La situación continúa y las organizaciones en las áreas afectadas deben tomar medidas para proteger sus redes y sistemas contra posibles amenazas.

Una cadena de ataque compleja ofrece el software malicioso CommonMagic

Según los investigadores, el vector de compromiso inicial exacto no está claro. Sin embargo, los detalles de la siguiente etapa del ataque indican que los atacantes pueden utilizar técnicas de phishing o similares.

Los ataques siguen un patrón específico en el que se presenta una URL maliciosa a las víctimas y se utiliza para conducirlas a un archivo ZIP alojado en un servidor web comprometido. Cuando se abre el archivo ZIP entregado, contiene un documento señuelo y un archivo LNK malicioso. En la siguiente fase del ataque, se implementa una puerta trasera llamada PowerMagic en los dispositivos violados. La puerta trasera le permite al atacante obtener acceso a la computadora de la víctima y llevar a cabo varias actividades maliciosas, pero su objetivo principal es obtener e implementar el marco de malware CommonMagic, una pieza mucho más especializada de software malicioso.

CommonMagic: un marco amenazante nunca antes visto

Se descubrió que todas las víctimas afectadas por el malware PowerMagic se infectaron con un marco malicioso mucho más intrincado y sofisticado, que se denominó CommonMagic. CommonMagic comprende varios módulos ejecutables, todos los cuales se almacenan en un directorio ubicado en C:\ProgramData\CommonCommand. Cada módulo se inicia como un archivo ejecutable independiente y se comunica con los demás a través de canalizaciones con nombre. Los módulos están diseñados específicamente para la comunicación con el servidor de Comando y Control (C&C), el cifrado y descifrado del tráfico de C&C y la realización de varias acciones maliciosas.

Dos de los módulos descubiertos hasta la fecha están equipados con la capacidad de capturar capturas de pantalla en intervalos de tres segundos y recuperar archivos de interés de cualquier dispositivo USB que esté conectado. El marco utiliza carpetas remotas de OneDrive para transportar datos, y cualquier dato intercambiado entre el atacante y la víctima a través de OneDrive se cifra mediante la biblioteca de código abierto RC5Simple.