22/03/2023    

BOLETÍN NRO 2023-189

Una vez dentro de la red de la víctima, los atacantes detrás de la campaña de espionaje que usan CommonMagic pueden usar plugins independientes para robar documentos y archivos (DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT, PDF).

El malware utilizado también puede realizar capturas de pantalla cada tres segundos empleando la API Windows Graphics Device Interface (GDI).

Se cree que el vector de infección inicial es el spear phishing o un método similar para entregar una URL que apunta a un archivo ZIP con un archivo LNK malicioso.

Se pudo conocer que la activación del LNK malicioso llevaría a infectar el sistema con un backdoor basado en PowerShell desconocido. El backdoor se comunica con el servidor de comando y control (C2) para recibir instrucciones y cargar los resultados utilizando las carpetas de OneDrive y Dropbox.

Tras la infección con PowerMagic, los objetivos se infectaron con CommonMagic, una colección de herramientas maliciosas que los investigadores no habían visto antes de estos ataques.

El framework CommonMagic tiene varios módulos que se inician como ejecutables independientes y utilizan named pipes para comunicarse.

El análisis reveló que los atacantes crearon módulos dedicados para diversas tareas, desde interactuar con el C2 hasta cifrar y descifrar el tráfico del servidor de comandos, robar documentos y realizar capturas de pantalla.

El intercambio de datos con el C2 también se realiza a través de una carpeta de OneDrive y los archivos se cifran empleando la biblioteca de código abierto RC5Simple con una secuencia personalizada “Hwo7X8p” al principio del cifrado.

Indicadores de Compromiso

IP

185[.]166[.]217[.]184

Dominio

webservice-srv1[.]online

webservice-srv[.]online

URL

hxxp[:]//40outlook[.]com/powershell

hxxp[:]//newspraize[.]com

Hash

MD5: fee3db5db8817e82b1af4cedafd2f346

SHA256: 4808815cb03b5f31841c74755897b65ed03e56dbddbe0d1fed06af3710f32d51

MD5: ebaf3c6818bfc619ca2876abd6979f6d

SHA256: de410c31357e2c5929eb442259a55e59a689b4bbba19ad74a3a5cef15b1fb819

MD5: ce8d77af445e3a7c7e56a6ea53af8c0d

SHA256: bc93ef8e20f2a9a8799934d629fe494d5d82ea49e06ed8fb00ea6cc2e96f407e

MD5: 9e19fe5c3cf3e81f347dd78cf3c2e0c2

SHA256: 82e4b4fddf5ea7b7c846d44bcc24d75edcec5726dfa5b81b9f43387a1fc1922a

MD5: 8c2f5e7432f1e6ad22002991772d589b

SHA256: 5d008539c11d9e35e9851487e82a078bbf8a1bd19a7f5f1f5beb581b47c7ca91

MD5: 7c0e5627fd25c40374bc22035d3fadd8

SHA256: 052309916380ef609cacb7bafbd71dc54b57f72910dca9e5f0419204dba3841d

MD5: 765f45198cb8039079a28289eab761c5

SHA256: 46ba5db56875af8ee61b40fa76455e94b0a759dd27e52bb19558328b833c0c0e

MD5: 1de44e8da621cdeb62825d367693c75e

SHA256: 22bb73e97b01be2e11d741f3f4852380b3dae91d9ac511f33de8877a9e7c0534

MD5: 1032986517836a8b1f87db954722a33f

SHA256: 2bbd36e0bf902fbb62438774c620c0ed0d7ad7ec414bd7f85063947e7dee89e8

MD5: 0a95a985e6be0918fdb4bfabf0847b5a

SHA256: 322965aa3dc6fd0e511c0141523fca7f2a92c698f8402bc4aba6cfc96cb0a679