Atores de ciberespionagem russos, associados ao Serviço Federal de Segurança (FSB), foram observados utilizando um worm propagador via USB chamado LitterDrifter em ataques contra entidades ucranianas.

A Check Point, que detalhou as últimas táticas do Gamaredon, classificou o grupo como engajado em campanhas em larga escala seguidas por esforços de coleta de dados direcionados a alvos específicos, provavelmente motivados por objetivos de espionagem.

O worm LitterDrifter possui duas características principais: propagação automática do malware via drives USB conectados e comunicação com os servidores de comando e controle (C&C) do ator da ameaça.

Suspeita-se que seja uma evolução de um worm USB baseado em PowerShell divulgado anteriormente pela Symantec em junho de 2023. Escrito em VBS, o módulo propagador é responsável por distribuir o worm como um arquivo oculto em um drive USB, juntamente com um LNK isca que recebe nomes aleatórios.

O malware recebeu o nome LitterDrifter porque o componente inicial de orquestração é chamado “trash.dll”.