Comment les hackers piratent le gouvernement et l’armée en infectant les périphériques USB

Last updated Déc 3, 2022

Si vous connectez une clé USB à un appareil infecté par ce malware, une copie du cheval de Troie sera silencieusement installée dessus.

Le groupe de hackers Transparent Tribe (également connu sous le nom de PROJECTM et MYTHIC LEOPARD) a mené des attaques contre les gouvernements et le personnel militaire de 27 États, en utilisant son cheval de Troie Crimson, conçu pour infecter les périphériques USB, puis propager des logiciels malveillants sur d’autres périphériques USB connectés au système.

"Les pirates de Transparent Tribe se concentrent sur la surveillance et l’espionnage, et pour atteindre ces objectifs, le groupe développe constamment sa boîte à outils en fonction de l’objectif visé", a écrit Kaspersky dans son blog.

Les pirates ont ciblé des victimes de 27 pays, mais la plupart se trouvaient en Afghanistan, au Pakistan, en Inde, en Iran et en Allemagne.

La séquence d’attaque commence par le harponnage. Les attaquants envoient de faux messages avec des documents Microsoft Office malveillants contenant une macro intégrée qui installe le cheval de Troie Crimson Remote Access (RAT) sur le système.

Si la victime tombe dans le piège et active les macros, le cheval de Troie est lancé et permet au pirate d’effectuer diverses fonctions sur le système de la victime, notamment la connexion à un serveur de commande et de contrôle (C2) pour voler des données et mettre à jour à distance des logiciels malveillants, voler des fichiers, capturez des captures d’écran, et piratez également des microphones et des webcams pour la surveillance audio et vidéo.

Selon les experts de Kaspersky Lab, le cheval de Troie peut également voler des fichiers sur des supports amovibles et collecter des informations d’identification stockées dans les navigateurs.

Le malware existe en trois versions qui ont été compilées en 2017, 2018 et fin 2019, ce qui suggère que le malware est toujours en développement actif. Entre juin 2019 et juin 2020, plus de 200 échantillons de composants Transparent Tribe Crimson ont été trouvés.

Carte de distribution des chevaux de Troie

Les pirates de Transparent Tribe utilisent également des logiciels malveillants tels que Crimson pour .NET et Peppy pour Python. Mais la chose la plus intéressante est un nouvel outil d’attaque appelé USBWorm. Il peut non seulement voler des fichiers, mais aussi infecter d’autres appareils vulnérables.

Si vous connectez une clé USB à un appareil infecté par ce malware, une copie du cheval de Troie sera silencieusement installée dessus. Le logiciel malveillant répertorie tous les répertoires du lecteur, puis masque une copie dans le répertoire racine du lecteur, en modifiant l’attribut de répertoire puis en "caché". Le cheval de Troie utilise l’icône Windows pour inciter la victime à cliquer et à exécuter une charge utile lorsqu’elle tente d’accéder aux répertoires.

"Cela entraîne le masquage de tous les répertoires réels et leur remplacement par une copie du logiciel malveillant portant le même nom de répertoire", notent les chercheurs.

Si une clé USB est connectée au PC infecté, une copie du cheval de Troie est discrètement installée sur un support amovible. Le logiciel malveillant énumère tous les répertoires du lecteur, puis enregistre une copie du cheval de Troie dans le répertoire racine du lecteur. L’attribut de répertoire est alors changé en "caché" et une fausse icône Windows est utilisée pour inciter les victimes à cliquer et à exécuter la charge utile lorsqu’elles tentent d’accéder aux répertoires.