Podermagia

Investigaciones recientes han expuesto una nueva campaña de ciberespionaje dirigida a agencias gubernamentales y otras organizaciones que operan dentro de las regiones de Ucrania que actualmente están ocupadas por Rusia. Esta campaña utiliza dos cepas de malware distintas y previamente desconocidas, que han sido denominadas PowerMagic y CommonMagic.

Los atacantes emplean estas variedades de malware para sustraer datos de los dispositivos objetivo pertenecientes a entidades ubicadas en las regiones de Donetsk, Lugansk y Crimea. Los objetivos de esta campaña de espionaje incluyen agencias gubernamentales, así como organizaciones agrícolas y de transporte.

Parece muy probable que esta última campaña de ciberespionaje sea parte del conflicto cibernético más grande entre Ucrania y Rusia, dado el conflicto en curso en la región.

Los atacantes utilizan correos electrónicos de phishing y documentos señuelo

Los atacantes detrás de este incidente diseminaron malware empleando correos electrónicos de phishing, que contenían un hipervínculo a un archivo .zip que estaba alojado en un servidor que tenía intenciones maliciosas.

El archivo .zip estaba compuesto por dos archivos: un documento que había sido disfrazado para parecer un decreto oficial, con ejemplos que incluían notificaciones relacionadas con las elecciones parlamentarias en Crimea o la planificación presupuestaria en Donetsk, así como un archivo malicioso .lnk. Al abrirse, este archivo .lnk iniciaría el malware e infectaría el dispositivo de destino.

En la fase inicial del ataque, los piratas informáticos utilizaron una puerta trasera basada en PowerShell llamada PowerMagic para infiltrarse en el sistema.

PowerMagic está equipado con múltiples capacidades de amenaza

Tras un examen más detallado de la puerta trasera de PowerMagic, se descubrió que la sección principal de la puerta trasera se lee del archivo ubicado en %APPDATA%\WinEventCom\config. Luego, este archivo se descifra mediante el uso de un algoritmo XOR simple.

Después del descifrado, la puerta trasera entra en un bucle infinito que se comunica continuamente con su servidor de Comando y Control (C&C) designado. La puerta trasera luego recibe comandos del servidor y responde con los resultados cargados.

Cuando PowerMagic establece con éxito una conexión con el servidor C&C, tiene la capacidad de ejecutar comandos arbitrarios. Los resultados de estos comandos ejecutados se filtran a servicios en la nube como Dropbox y Microsoft OneDrive.

Sin embargo, una de las tareas principales de PowerMagic es entregar el marco CommonMagic de próxima etapa a los dispositivos infectados. CommonMagic es una herramienta maliciosa más complicada capaz de realizar tareas específicas.

Tendencias

Mas Visto

Cargando...