Camaro Dragon заражает компьютеры через USB-накопители

О новом штамме опасного ПО рассказали исследователи безопасности Check Point на своем официальном сайте. Они обнаружили, что китайская группировка Camaro Dragon (Mustang Panda) распространяет вредоносные программы через скомпрометированные USB-накопители. 

Случаи заражения зафиксированы в Мьянме, Южной Корее, Великобритании, Индии и России. Заражения, по словам экспертов Check Point, стали результатом киберинцидента, случившегося в одной из европейских больниц в начале текущего года. 

Расследование Check Point показало, что первый объект не был атакован хакерами напрямую, а подвергся взлому через флешку сотрудника, когда он подключил накопитель к компьютеру коллеги с вредоносом на конференции в Азии. После возвращения домой сотрудник вставил флэшку с опасным ПО в рабочий компьютер, и вирус распространился на компьютерные системы всей больницы. 

На зараженных флэшках было обнаружены средство запуска HopperTick (оно написано на языке программирования Delphi и распространяется именно через USB-накопители), а также полезная нагрузка WispRider, отвечающая за заражение подключенных USB-устройств. 

Отчет Check Point объяснил схему действия мошенников: когда к зараженному компьютеру подключают USB-накопитель, вредоносное ПО обнаруживает его и манипулирует файлами, хранящимися на флэшке, создавая несколько скрытых папок в корне USB-накопителя. Кроме того, WispRider устанавливает связь с удаленным C2-сервером. Еще одна полезная нагрузка, доставляемая на компьютер вместе с WispRider, — это модуль инфостилера, размещающий файлы с предопределенными расширениями (например, docx, mp3, wav, m4a, wma и др.) для эксфильтрации.