Cómo los piratas informáticos piratean al gobierno y al ejército infectando dispositivos USB

Last updated Dic 3, 2022

Si conecta una unidad USB a un dispositivo infectado con este malware, se instalará silenciosamente una copia del troyano en él.

El grupo de piratas informáticos Transparent Tribe (también conocido como PROJECTM y MYTHIC LEOPARD) llevó a cabo ataques contra los gobiernos y el personal militar de 27 estados, utilizando su troyano Crimson, diseñado para infectar dispositivos USB y luego propagar malware a otros dispositivos USB conectados al sistema.

“Los piratas informáticos de la Tribu Transparente se centran en la vigilancia y el espionaje, y para lograr estos objetivos, el grupo desarrolla constantemente su conjunto de herramientas según el objetivo previsto", escribió Kaspersky en su blog.

Los piratas informáticos se dirigieron a víctimas de 27 países, pero la mayoría de ellos estaban en Afganistán, Pakistán, India, Irán y Alemania.

La secuencia de ataque comienza con el spear-phishing. Los atacantes envían mensajes falsos junto con documentos maliciosos de Microsoft Office que contienen una macro incrustada que instala el troyano Crimson Remote Access (RAT) en el sistema.

Si la víctima cae en la trampa y habilita las macros, se inicia el troyano y permite que el pirata informático realice varias funciones en el sistema de la víctima, incluida la conexión a un servidor de comando y control (C2) para robar datos y actualizar malware de forma remota, robar archivos, capturar capturas de pantalla y también piratear micrófonos y cámaras web para vigilancia de audio y video.

Según los expertos de Kaspersky Lab, el troyano también puede robar archivos de medios extraíbles y recopilar credenciales almacenadas en los navegadores.

El malware existe en tres versiones que se compilaron en 2017, 2018 y finales de 2019, lo que sugiere que el malware aún está en desarrollo activo. Entre junio de 2019 y junio de 2020, se encontraron más de 200 muestras de componentes de Transparent Tribe Crimson.

Mapa de distribución de troyanos

Los piratas informáticos de Transparent Tribe también usan malware como Crimson para .NET y Peppy para Python. Pero lo más interesante es una nueva herramienta de ataque llamada USBWorm. No solo puede robar archivos, sino también infectar otros dispositivos vulnerables.

Si conecta una unidad USB a un dispositivo infectado con este malware, se instalará silenciosamente una copia del troyano en él. El malware mostrará una lista de todos los directorios en la unidad y luego ocultará una copia en el directorio raíz de la unidad, cambiando el atributo del directorio y luego cambia a "oculto". El troyano usa el ícono de Windows para incitar a la víctima a hacer clic y ejecutar una carga cuando intenta acceder a los directorios.

“Esto hace que todos los directorios reales se oculten y se reemplacen con una copia del malware con el mismo nombre de directorio”, señalan los investigadores.

Si se conecta una unidad USB a la PC infectada, se instala discretamente una copia del troyano en un medio extraíble. El malware enumera todos los directorios de la unidad y luego guarda una copia del troyano en el directorio raíz de la unidad. Luego, el atributo del directorio se cambia a "oculto" y se usa un ícono falso de Windows para atraer a las víctimas a hacer clic y ejecutar la carga cuando intentan acceder a los directorios.