Киберпреступная группировка Transparent Tribe (также известная как PROJECTM и MYTHIC LEOPARD) организовала вредоносные кампании против дипломатов и военнослужащих в 27 странах. В основном жертвы располагались в Афганистане, Пакистане, Индии, Иране и Германии. Злоумышленники вооружились новым инструментом, предназначенным для заражения USB-устройств и распространения вредоносного ПО на другие системы.
Цепочка атак начинается с направленного фишинга. Мошеннические сообщения отправляются с вредоносными документами Microsoft Office, содержащими встроенный макрос для установки трояна Crimson Remote Access. Троян способен выполнять множество функций, включая подключение к C&C-серверу для кражи данных, удаленного обновления вредоносных программ, создания скриншотов, а также взлома микрофонов и web-камер для аудио и видеонаблюдения.
По словам экспертов из «Лаборатории Касперского», вредонос способен похищать файлы со съемных носителей, осуществлять кейлоггинг и красть учетные данные из браузеров.
Transparent Tribe также использует такие вредоносные программы, как Crimson на базе .NET и Peppy на базе Python. В ходе последних атак преступники внедрили в троян Crimson новую функциональность под названием USBWorm. Он состоит из двух основных компонентов: средства кражи файлов со съемных дисков и функции червя для заражения других уязвимых устройств.
Если к зараженному ПК подключен USB-накопитель, копия трояна незаметно устанавливается на съемный носитель. Вредоносная программа перечисляет все каталоги на диске, а затем сохраняет копию трояна в корневом каталоге диска. Атрибут каталога затем изменяется на «скрытый», а поддельный значок Windows используется, чтобы побудить жертв щелкнуть и выполнить полезную нагрузку при попытке доступа к каталогам.