PowerMagic faz parte de uma estrutura de malware usada contra a Ucrânia
Em meio ao conflito em curso entre a Rússia e a Ucrânia, várias organizações que operam em Donetsk, Lugansk e na Crimeia foram alvo de uma nova estrutura modular conhecida como CommonMagic, como parte de uma campanha ativa. As organizações visadas incluem aquelas nos setores de governo, agricultura e transporte. Esses ataques foram detectados por uma empresa russa de segurança cibernética em outubro de 2022, que monitora o cluster de atividades sob o nome de "Bad Magic".
Acredita-se que os ataques começaram com uma campanha de spear phishing, ou métodos semelhantes, que empregavam URLs armadilhados que levavam a um arquivo ZIP malicioso localizado em um servidor da Web comprometido. Este arquivo contém um documento chamariz e um arquivo LNK malicioso que, quando aberto, instala um backdoor chamado PowerMagic.
O backdoor é escrito em PowerShell e estabelece contato com um servidor remoto, permitindo que comandos arbitrários sejam executados e os resultados sejam exfiltrados para serviços em nuvem como Dropbox e Microsoft OneDrive. O PowerMagic também é usado para implantar a estrutura CommonMagic, que é uma coleção de módulos executáveis projetados para interagir com o servidor de comando e controle (C2), criptografar e descriptografar o tráfego C2 e executar plug-ins. Dois plugins que foram descobertos até agora permitem a captura de telas e a coleta de arquivos de interesse de dispositivos USB conectados.
Vale a pena notar que os pesquisadores não encontraram nenhuma evidência ligando esta operação e suas ferramentas a qualquer agente ou grupo de ameaças conhecido. A campanha pode ter passado despercebida por mais de um ano e meio. Embora o malware e as técnicas usadas na campanha CommonMagic possam não ser considerados altamente avançados, o uso do armazenamento em nuvem como infraestrutura de comando e controle é digno de nota. Isso destaca como a geopolítica pode influenciar o cenário de ameaças cibernéticas.
No geral, esse ataque destaca a necessidade de maior vigilância diante da evolução das ameaças cibernéticas, especialmente em regiões onde as tensões geopolíticas podem exacerbar tais ameaças. As organizações devem permanecer alertas para a possibilidade de campanhas de spear phishing e métodos semelhantes e estar preparadas para responder de forma rápida e eficaz a quaisquer incidentes suspeitos de ataques cibernéticos.