PowerMagic es parte de un marco de malware utilizado contra Ucrania
En medio del conflicto en curso entre Rusia y Ucrania, varias organizaciones que operan en Donetsk, Lugansk y Crimea han sido blanco de un nuevo marco modular conocido como CommonMagic, como parte de una campaña activa. Las organizaciones objetivo incluyen aquellas en los sectores de gobierno, agricultura y transporte. Estos ataques fueron detectados por una empresa rusa de ciberseguridad en octubre de 2022, que ha estado monitoreando el clúster de actividad bajo el nombre de "Mala mala".
Se cree que los ataques comenzaron con una campaña de spear-phishing, o métodos similares, que empleaban direcciones URL con trampas explosivas que conducían a un archivo ZIP malicioso ubicado en un servidor web comprometido. Este archivo contiene un documento señuelo y un archivo LNK malicioso que, cuando se abre, instala una puerta trasera llamada PowerMagic.
La puerta trasera está escrita en PowerShell y establece contacto con un servidor remoto, lo que permite ejecutar comandos arbitrarios y filtrar los resultados a servicios en la nube como Dropbox y Microsoft OneDrive. PowerMagic también se usa para implementar el marco CommonMagic, que es una colección de módulos ejecutables diseñados para interactuar con el servidor de comando y control (C2), cifrar y descifrar el tráfico C2 y ejecutar complementos. Dos complementos que se han descubierto hasta ahora permiten la captura de capturas de pantalla y la recopilación de archivos de interés desde dispositivos USB conectados.
Vale la pena señalar que los investigadores no han encontrado evidencia que vincule esta operación y sus herramientas con ningún actor o grupo de amenazas conocido. La campaña puede haber pasado desapercibida durante más de un año y medio. Si bien el malware y las técnicas utilizadas en la campaña CommonMagic pueden no considerarse muy avanzadas, es digno de mención el uso del almacenamiento en la nube como infraestructura de comando y control. Esto destaca cómo la geopolítica puede influir en el panorama de las ciberamenazas.
En general, este ataque destaca la necesidad de una mayor vigilancia frente a las amenazas cibernéticas en evolución, especialmente en regiones donde las tensiones geopolíticas pueden exacerbar dichas amenazas. Las organizaciones deben permanecer alerta ante la posibilidad de campañas de spear-phishing y métodos similares, y estar preparadas para responder con prontitud y eficacia a cualquier incidente sospechoso de ataques cibernéticos.
