En medio de la guerra en curso entre Rusia y Ucrania, las organizaciones gubernamentales, agrícolas y de transporte ubicadas en Donetsk, Lugansk y Crimea han sido atacadas como parte de una campaña activa que lanza un marco modular nunca antes visto denominado ComúnMagia.
«Aunque el vector inicial de compromiso no está claro, los detalles de la siguiente etapa implican el uso de spear phishing o métodos similares», Kaspersky dicho en un nuevo informe.
La empresa rusa de ciberseguridad, que detectó los ataques en octubre de 2022, está rastreando el grupo de actividad bajo el nombre de «Bad Magic».
Las cadenas de ataque implican el uso de direcciones URL con trampas explosivas que apuntan a un archivo ZIP alojado en un servidor web malicioso. El archivo, cuando se abre, contiene un documento señuelo y un archivo LNK malicioso que culmina con la implementación de una puerta trasera llamada PowerMagic.
Escrito en PowerShell, PowerMagic establece contacto con un servidor remoto y ejecuta comandos arbitrarios, cuyos resultados se filtran a servicios en la nube como Dropbox y Microsoft OneDrive.
PowerMagic también sirve como conducto para entregar el marco CommonMagic, un conjunto de módulos ejecutables que están diseñados para realizar tareas específicas, como interactuar con el servidor de comando y control (C2), cifrar y descifrar el tráfico C2 y ejecutar complementos.
Dos de los complementos descubiertos hasta ahora vienen con capacidades para capturar capturas de pantalla cada tres segundos y recopilar archivos de interés de los dispositivos USB conectados.
Kaspersky dijo que no encontró evidencia que vincule la operación y sus herramientas con ningún actor o grupo de amenazas conocido.