Como os hackers hackeam o governo e os militares infectando dispositivos USB
Se você conectar uma unidade USB a um dispositivo infectado com esse malware, uma cópia do Trojan será instalada silenciosamente nele.
O grupo de hackers Transparent Tribe (também conhecido como PROJECTM e MYTHIC LEOPARD) realizou ataques contra governos e militares de 27 estados, usando seu Trojan Crimson, projetado para infectar dispositivos USB e depois espalhar malware para outros dispositivos USB conectados ao sistema.
“Os hackers da Transparent Tribe estão focados em vigilância e espionagem e, para atingir esses objetivos, o grupo está constantemente desenvolvendo seu kit de ferramentas dependendo do objetivo pretendido", escreveu Kaspersky em seu blog.
Os hackers visaram vítimas de 27 países, mas a maioria deles estava no Afeganistão, Paquistão, Índia, Irã e Alemanha.
A sequência de ataque começa com spear-phishing. Os invasores enviam mensagens falsas junto com documentos maliciosos do Microsoft Office contendo uma macro incorporada que instala o Trojan Crimson Remote Access (RAT) no sistema.
Se a vítima cair no truque e habilitar macros, o trojan é lançado e permite que o hacker execute várias funções no sistema da vítima, incluindo a conexão a um servidor de comando e controle (C2) para roubar dados e atualizar malware remotamente, roubar arquivos, capture capturas de tela e também hackeie microfones e webcams para vigilância de áudio e vídeo.
De acordo com especialistas da Kaspersky Lab, o Trojan também pode roubar arquivos de mídia removível e coletar credenciais armazenadas em navegadores.
O malware existe em três versões que foram compiladas em 2017, 2018 e no final de 2019, sugerindo que o malware ainda está em desenvolvimento ativo. Entre junho de 2019 e junho de 2020, foram encontradas mais de 200 amostras de componentes Transparent Tribe Crimson.
Mapa de distribuição de cavalos de Tróia
Os hackers da Tribo Transparente também usam malware como Crimson para .NET e Peppy para Python. Mas o mais interessante é uma nova ferramenta de ataque chamada USBWorm. Ele pode não apenas roubar arquivos, mas também infectar outros dispositivos vulneráveis.
Se você conectar uma unidade USB a um dispositivo infectado com esse malware, uma cópia do Trojan será instalada silenciosamente nele. O malware listará todos os diretórios na unidade e, em seguida, ocultará uma cópia no diretório raiz da unidade, alterando o atributo do diretório e, em seguida, muda para "oculto". O Trojan usa o ícone do Windows para induzir a vítima a clicar e executar uma carga ao tentar acessar diretórios.
“Isso faz com que todos os diretórios reais sejam ocultos e substituídos por uma cópia do malware com o mesmo nome de diretório”, observam os pesquisadores.
Se uma unidade USB estiver conectada ao PC infectado, uma cópia do Trojan é instalada discretamente em uma mídia removível. O malware enumera todos os diretórios da unidade e salva uma cópia do Trojan no diretório raiz da unidade. O atributo do diretório é então alterado para "oculto" e um ícone falso do Windows é usado para induzir as vítimas a clicar e executar a carga ao tentar acessar os diretórios.