Studiuesit e Kaspersky kanë identifikuar dy malware të rinj të shfrytëzuar për aktivitete spiunazhi kibernetik. CommonMagic dhe PowerMagic janë përdorur për të synuar disa kompani që operojnë në rajonet Donetsk, Lugansk dhe Krime. Megjithatë, nuk është e qartë nëse kriminelët kibernetikë janë të lidhur me qeverinë ukrainase apo ruse. Sulmet janë ende në vazhdim, kështu që më shumë detaje me siguri do të zbulohen në javët në vijim.
Vjedhja e të dhënave me PowerMagic dhe CommonMagic
Zinxhiri i infeksionit të PowerMagic fillon me email phishing me shtizë. Mesazhi përmban një lidhje me një arkiv ZIP të vendosur në sajte të ndryshme. Brenda janë dokumente Word, Excel ose PDF dhe një skedar LNK. Kur viktima që nuk dyshon klikon dy herë në skedarin LNK, një skedar MSI shkarkohet dhe ekzekutohet.
Instaluesi i rremë shkarkon dhe ekzekuton një skript PowerShell që krijon një detyrë të planifikuar dhe ekzekuton skriptin manutil.vbs, i cili është ngarkuesi i pasme PowerMagic. Përdoruesi e sheh dokumentin në ekran, ndërsa porta e pasme komunikon në sfond me serverin C2 (komandë dhe kontroll). Të dhënat e vjedhura kopjohen në llogaritë Dropbox dhe OneDrive.
Në këtë pikë është radha e CommonMagic, një kornizë me disa module, secila prej të cilave kryen një aktivitet të veçantë, si komunikimi me serverin C2, marrja e pamjeve nga ekrani çdo 3 sekonda dhe vjedhja e skedarëve me shtesa specifike (.doc, .docx. . xls, .xlsx, .rtf, .odt, .ods, .zip, .rar, .txt dhe .pdf) nga disqet USB të lidhur me kompjuterin tuaj.
Sulmet po ndodhin ende, kështu që është më mirë të reduktoni rreziqet tuaja duke instaluar një zgjidhje të përditësuar të sigurisë që zbulon dhe bllokon këtë lloj kërcënimi.
Discussion about this post