В Крыму, Донецкой и Луганской народных республиках с 2021 года идет кампания кибершпионажа, нацеленная на государственные, транспортные и сельскохозяйственные организации. Злоумышленники используют неизвестную ранее вредоносную программу CommonMagic (англ. «Обычная магия»). Об этом РБК сообщили в «Лаборатории Касперского».
Атака начинается, предположительно, с рассылки фишинговых писем по электронной почте. Злоумышленники пишут жертвам от имени госорганизаций. При нажатии на ссылку жертва загружает ZIP-архив, содержащий два файла. В первом находится безвредный документ-приманка (в формате PDF, XLSX или DOCX), во втором — вредоносный LNK-файл с двойным расширением (например, .pdf.lnk).
При скачивании архива и нажатии на ярлык на устройство проникает бэкдор PowerMagic (можно перевести как «Мощная магия»). Он получает команды из удаленной папки, расположенной в публичном облаке, исполняет их и затем загружает результаты обратно в облако. PowerMagic остается в системе даже после перезагрузки зараженного устройства.
Программа CommonMagic, которую развертывают после внедрения PowerMagic, может красть файлы с USB-устройств, а также каждые три секунды делать скриншоты и отправлять их атакующим, сообщили в «Лаборатории Касперского».
В кампании кибершпионажа с CommonMagic примечательно не вредоносное программное обеспечение, а то, что в качестве командно-контрольной встречи задействуется облачное хранилище, сказал эксперт по кибербезопасности в компании Леонид Безвершенко.
В начале декабря зампред комитета Госдумы по развитию гражданского общества и вопросам общественных и религиозных объединений Ольга Занко заявила, что после начала СВО участились хакерские атаки на сайты некоммерческих организаций патриотической направленности.