Si conecta una unidad USB a un dispositivo infectado con este malware, se instalará una copia del troyano.

El grupo de piratas informáticos Transparent Tribe (también conocido como PROJECTM y MYTHIC LEOPARD) llevó a cabo ataques contra gobiernos y personal militar de 27 países utilizando su Crimson Trojan, diseñado para infectar dispositivos USB y luego propagar malware a otros dispositivos USB conectados al sistema.

“Los piratas informáticos de la Tribu Transparente se centran en la vigilancia y el espionaje, y para lograr estos objetivos, el grupo está evolucionando constantemente sus herramientas en función del propósito previsto”, escribió Kaspersky en su blog.

Los piratas informáticos apuntaron a víctimas de 27 países, pero la mayoría de ellos estaban en Afganistán, Pakistán, India, Irán y Alemania.

La secuencia del ataque comienza con la distribución del phishing. Los atacantes envían mensajes falsos junto con documentos maliciosos de Microsoft Office que contienen una macro incrustada que instala el troyano Crimson Remote Access (RAT) en el sistema.

Si la víctima es engañada e incluye macros, el troyano se inicia y permite al pirata informático realizar varias funciones en el sistema de la víctima, incluida la conexión a un servidor de comando y control (C2) para robar datos y actualizar malware de forma remota , robar archivos , capturar capturas de pantalla y piratear micrófonos y cámaras web para videovigilancia y audio.

Según los expertos de Kaspersky Lab, el troyano también puede robar archivos de medios extraíbles y recopilar credenciales almacenadas en los navegadores.

El malware existe en tres versiones que se compilaron en 2017, 2018 y finales de 2019, lo que sugiere que el malware aún se encuentra en desarrollo activo . Entre junio de 2019 y junio de 2020, se descubrieron más de 200 muestras de componentes de Transparent Tribe Crimson.

El mapa de los dispositivos infectados
Mapa de distribución de troyanos

Los piratas informáticos de la Tribu Transparente también utilizan malware como Crimson en .NET y Peppy en Python. Pero lo más interesante es una nueva herramienta de ataque llamada USBWorm. Es capaz no solo de robar archivos, sino también de infectar otros dispositivos vulnerables.

Si conecta una unidad USB a un dispositivo infectado con este malware, se instalará una copia del troyano. El malware enumerará todos los directorios del disco y luego ocultará la copia en la raíz del disco cambiando el atributo del directorio y luego cambiando a “oculto”. El troyano usa el icono de Windows para atraer a la víctima a hacer clic y ejecutar la carga útil cuando intenta acceder a los directorios.

“Esto da como resultado que todos los directorios reales se oculten y se reemplacen con una copia de malware con el mismo nombre de directorio”, señalan los investigadores.