21/03/23
Хакеры совершают атаки на Крым и Донбасс при помощи ранее неизвестных специалистам по кибербезопасности программ, получивших название CommonMagic и PowerMagic. Они позволяют заполучить информацию с устройств жертвы, пишет РБК со ссылкой на экспертов «Лаборатории Касперского».
Вредоносные программы помогают делать скриншоты экрана устройства, к которому был получен доступ. Это позволяет злоумышленникам красть файлы и пересылать их в облако.
Атаки начались с 2021 г. Они направлены на правительственные, сельскохозяйственные и транспортные компании, рассказали изданию представители ИБ-компании.
Как крадутся данные
Эксперты «Лаборатории Касперского» предположили, что кибератака начинается с рассылки фишинговых писем по электронной почте. Такие письма отправляются от имени «госорганизаций». Когда сотрудник компании открывает ссылку в письме, то на его устройство скачивается вредоносный ZIP-архив.
В этом архиве содержатся два файла: один для усыпления бдительности (обычный документ распространенного PDF или .docx-формата), другой — вредоносный LNK-файл с двойным расширением. Именно при нажатии на этот файл, на устройство попадает бэкдор PowerMagic.
PowerMagic получает команды из удаленной папки, расположенной в облаке. После того как программа выполняет команды, она загружает файлы в облако. Вредоносная программа остается в системе даже после перезагрузки устройства, отметили эксперты по кибербезопасности.
PowerMagic в том числе используют для развертывания CommonMagic, которая состоит из нескольких модулей. Она более опасна, так как может красть файлы не только с самого устройства, но и с внешних носителей, подключенных к нему, а также делать скрины экрана каждые три секунды и отправлять их злоумышленникам.
