Хакеры атакуют Донбасс и Крым с помощью вредоносных программ CommonMagic и PowerMagic. После получения доступа к устройству они могут делать скриншоты экрана и красть файлы с носителей информации, пересылая их в облако

 «Касперский» обнаружил хакерскую атаку на Крым с помощью «мощной магии»

Фото: Сергей Бобылев / ТАСС

В ДНР, ЛНР и Крыму с 2021 года продолжается кампания кибершпионажа, направленная на правительственные, сельскохозяйственные и транспортные организации, сообщили РБК в «Лаборатории Касперского». В ней используется ранее неизвестная специалистам по кибербезопасности вредоносная программа, получившая название CommonMagic.

Предположительно, атака начинается с рассылки целевых фишинговых писем по электронной почте. Они поступают жертвам от имени госорганизаций. При нажатии на ссылку жертва скачивает с вредоносного веб-сервера ZIP-архив, в котором содержатся два файла. Первый — безвредный документ-приманка (в формате PDF, XLSX или DOCX), второй — вредоносный LNK-файл с двойным расширением (например,.pdf.lnk).

Если скачать архив и нажать на ярлык, на устройство проникает бэкдор PowerMagic. Она получает команды из удаленной папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако. PowerMagic внедряется в систему и остается в ней даже после перезагрузки зараженного устройства. Также ее используют для развертывания вредоносной платформы CommonMagic, которая состоит из нескольких модулей. Например, она может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.

«Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, — а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — отметил Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».

ВТБ подвергся «беспрецедентной кибератаке»

Финансы

 «Касперский» обнаружил хакерскую атаку на Крым с помощью «мощной магии»

Компания Swordfish Security в октябре прогнозировала, что число кибератак на российские компании в 2023 году увеличится как минимум на 50%. Новым фактором угрозы эксперты называли использование хакерами технологий машинного обучения.

Регулярные DDoS-атаки на российские ресурсы, в том числе органов власти и СМИ, стали активно вестись после 24 февраля, дня начала военных действий на Украине. Так, масштабная атака на сервисы электронного документооборота была совершена 1 сентября.

Читайте на РБК Pro

О чем «болит голова» российских ИТ-директоров: приоритеты на 2023 год

Действительно ли Турция блокирует грузы из ЕС в Россию

«Он вам все провалит»: кого и почему опасно повышать — шесть типажей

«И без зуба проживу»: шесть главных мифов об имплантации

Источник: rbc.ru