...
Лайфхаки, корисні поради, рекомендації. Статті для чоловіків і жінок. Ми пишемо і про технології, і про все, що цікаво.

Як хакери зламують уряд і військових, заражаючи USB-пристрої

1

Якщо до зараженого цього малварю пристрою підключити USB-накопичувач, то на нього непомітно встановиться копія трояна.

Хакерське угруповання Transparent Tribe (також відоме як PROJECTM і MYTHIC LEOPARD) проводило атаки на уряди і військовослужбовців 27 держав, використовуючи свій троян Сrimson, призначений для зараження USB-пристроїв і подальшого поширення малварі на інші USB-пристрої, що підключаються до системи.

"Хакери з Transparent Tribe зосереджені на стеженні та шпигунстві, і для досягнення цих цілей група постійно розвиває свій інструментарій залежно від наміченої мети", – написав Касперський у своєму блозі.

Метою хакерів були жертви з 27 країн, але більшість із них була в Афганістані, Пакистані, Індії, Ірані та Німеччині.

Послідовність атаки починається з розсилки цільового (спрямованого) фішингу. Зловмисники відправляють фальшиві повідомлення разом із шкідливими документами Microsoft Office, які містять вбудований макрос, який встановлює в систему троян Crimson Remote Access (RAT).

Якщо жертва потрапляє на прийом і включає макроси, троян запускається і дозволяє хакеру виконувати різні функції в системі жертви, включаючи підключення до сервера керування та контролю (C2) для крадіжки даних та віддаленого оновлення шкідливих програм, крадіжки файлів, захоплення знімків екрану, а також злому мікрофонів та веб-камер для аудіо та відеоспостереження.

За словами експертів «Лабораторії Касперського, троян також може красти файли зі знімних носіїв та збирати облікові дані, що зберігаються у браузерах.

Шкідливість існує в трьох версіях, які були скомпільовані в 2017, 2018 та наприкінці 2019 року, що дозволяє припустити, що шкідлива програма все ще перебуває в активній розробці. У період з червня 2019 року до червня 2020 року було виявлено понад 200 зразків компонентів Transparent Tribe Crimson.

Як хакери зламують уряд і військових, заражаючи USB-пристрої

Карта розповсюдження трояна

Хакери з Transparent Tribe також використовують і шкідливі програми, як, наприклад, Crimson на .NET і Peppy на Python. Але найцікавіше це новий інструмент атаки під назвою USBWorm. Він здатний не тільки викрадати файли, а й заражати інші вразливі пристрої.

Якщо до зараженого цього малварю пристрою підключити USB-накопичувач, то на нього непомітно встановиться копія трояна. Шкідлива програма перерахує всі каталоги на диску, а потім сховає копію в кореневому каталозі диска, змінивши атрибут каталогу, потім змінюється на «прихований». Троян використовує іконку Windows, щоб спонукати жертву клацнути та виконати корисне навантаження під час спроби доступу до каталогів.

"Це призводить до того, що всі фактичні каталоги ховаються і замінюються копією шкідливого програмного забезпечення з тим же ім’ям каталогу", – зазначають дослідники.

Якщо до зараженого ПК підключено USB-накопичувач, копія трояна непомітно встановлюється на знімний носій. Шкідлива програма перераховує всі каталоги диска, а потім зберігає копію трояна в кореневому каталозі диска. Атрибут каталогу потім змінюється на "прихований", а підроблений значок Windows використовується, щоб спонукати жертв клацнути та виконати корисне навантаження під час спроби доступу до каталогів.


Цей веб -сайт використовує файли cookie, щоб покращити ваш досвід. Ми припустимо, що з цим все гаразд, але ви можете відмовитися, якщо захочете. Прийняти Читати далі