Om du ansluter en USB-enhet till en enhet som är infekterad med denna skadliga programvara, kommer en kopia av trojanen att installeras på den.
Hackergruppen Transparent Tribe (även känd som PROJECTM och MYTHIC LEOPARD) genomförde attacker mot regeringar och militär personal i 27 stater, med hjälp av sin Crimson Trojan, designad för att infektera USB-enheter och sedan sprida skadlig programvara till andra USB-enheter som är anslutna till systemet.
"Transparent Tribe-hackarna är fokuserade på övervakning och spionage, och för att uppnå dessa mål utvecklar gruppen ständigt sin verktygslåda beroende på det avsedda målet", skrev Kaspersky i sin blogg.
Hackarna riktade sig mot offer från 27 länder, men de flesta av dem var i Afghanistan, Pakistan, Indien, Iran och Tyskland.
Attacksekvensen börjar med spear-phishing. Angriparna skickar falska meddelanden tillsammans med skadliga Microsoft Office-dokument som innehåller ett inbäddat makro som installerar trojanen Crimson Remote Access (RAT) på systemet.
Om offret faller för list och aktiverar makron, startas trojanen och låter hackaren utföra olika funktioner på offrets system, inklusive att ansluta till en kommando- och kontrollserver (C2) för att stjäla data och fjärruppdatera skadlig programvara, stjäla filer, fånga skärmdumpar och även hacka mikrofoner och webbkameror för ljud- och videoövervakning.
Enligt Kaspersky Labs experter kan trojanen också stjäla filer från flyttbara media och samla in autentiseringsuppgifter som lagras i webbläsare.
Skadlig programvara finns i tre versioner som kompilerades 2017, 2018 och slutet av 2019, vilket tyder på att skadlig programvara fortfarande är i aktiv utveckling. Mellan juni 2019 och juni 2020 hittades över 200 prover av Transparent Tribe Crimson-komponenter.
Trojan distributionskarta
Transparent Tribe-hackarna använder också skadlig programvara som Crimson för .NET och Peppy för Python. Men det mest intressanta är ett nytt attackverktyg som heter USBWorm. Det kan inte bara stjäla filer utan också infektera andra sårbara enheter.
Om du ansluter en USB-enhet till en enhet som är infekterad med denna skadliga programvara, kommer en kopia av trojanen att installeras på den. Skadlig programvara listar alla kataloger på enheten och döljer sedan en kopia i enhetens rotkatalog, ändrar katalogattributet och ändras sedan till "dold". Trojanen använder Windows-ikonen för att locka offret att klicka och köra en nyttolast när han försöker komma åt kataloger.
"Detta gör att alla faktiska kataloger döljs och ersätts med en kopia av skadlig programvara med samma katalognamn", noterar forskarna.
Om en USB-enhet är ansluten till den infekterade datorn, installeras en kopia av trojanen diskret på flyttbara media. Skadlig programvara räknar upp alla kataloger på enheten och sparar sedan en kopia av trojanen i enhetens rotkatalog. Katalogattributet ändras sedan till "dold" och en falsk Windows-ikon används för att locka offer att klicka och köra nyttolasten när de försöker komma åt kataloger.