Se colleghi un’unità USB a un dispositivo infettato da questo malware, una copia del trojan verrà automaticamente installata su di esso.
Il gruppo di hacker Transparent Tribe (noto anche come PROJECTM e MYTHIC LEOPARD) ha effettuato attacchi ai governi e al personale militare di 27 stati, utilizzando il suo Crimson Trojan, progettato per infettare i dispositivi USB e poi diffondere malware ad altri dispositivi USB collegati al sistema.
"Gli hacker di Transparent Tribe si concentrano sulla sorveglianza e sullo spionaggio e, per raggiungere questi obiettivi, il gruppo sviluppa costantemente il proprio toolkit a seconda dell’obiettivo prefissato", ha scritto Kaspersky nel suo blog.
Gli hacker hanno preso di mira vittime di 27 paesi, ma la maggior parte di loro si trovava in Afghanistan, Pakistan, India, Iran e Germania.
La sequenza di attacco inizia con lo spear-phishing. Gli aggressori inviano messaggi falsi insieme a documenti Microsoft Office dannosi contenenti una macro incorporata che installa il trojan Crimson Remote Access (RAT) sul sistema.
Se la vittima si innamora dello stratagemma e abilita le macro, il trojan viene lanciato e consente all’hacker di eseguire varie funzioni sul sistema della vittima, inclusa la connessione a un server di comando e controllo (C2) per rubare dati e aggiornare in remoto malware, rubare file, catturare schermate e anche hackerare microfoni e webcam per la sorveglianza audio e video.
Secondo gli esperti di Kaspersky Lab, il trojan può anche rubare file da supporti rimovibili e raccogliere credenziali memorizzate nei browser.
Il malware esiste in tre versioni compilate nel 2017, 2018 e alla fine del 2019, suggerendo che il malware è ancora in fase di sviluppo attivo. Tra giugno 2019 e giugno 2020 sono stati trovati oltre 200 campioni di componenti di Transparent Tribe Crimson.
Mappa di distribuzione dei trojan
Gli hacker di Transparent Tribe usano anche malware come Crimson per .NET e Peppy per Python. Ma la cosa più interessante è un nuovo strumento di attacco chiamato USBWorm. Non solo può rubare file, ma anche infettare altri dispositivi vulnerabili.
Se colleghi un’unità USB a un dispositivo infettato da questo malware, una copia del trojan verrà automaticamente installata su di esso. Il malware elencherà tutte le directory sull’unità e quindi nasconderà una copia nella directory principale dell’unità, modificando l’attributo della directory e quindi modificandolo in "nascosto". Il Trojan utilizza l’icona di Windows per invogliare la vittima a fare clic ed eseguire un payload quando tenta di accedere alle directory.
"Ciò fa sì che tutte le directory effettive vengano nascoste e sostituite con una copia del malware con lo stesso nome di directory", osservano i ricercatori.
Se un’unità USB è collegata al PC infetto, una copia del Trojan viene discretamente installata su un supporto rimovibile. Il malware enumera tutte le directory sull’unità e quindi salva una copia del trojan nella directory principale dell’unità. L’attributo della directory viene quindi modificato in "nascosto" e viene utilizzata una falsa icona di Windows per invogliare le vittime a fare clic ed eseguire il payload quando tentano di accedere alle directory.