Криптовалютные организации стали новой мишенью для атаки в рамках вредоносной кампании по распространению трояна удаленного доступа Parallax RAT. Вредоносное ПО “использует методы внедрения, чтобы скрыться в законных процессах, что затрудняет его обнаружение”, – говорится в новом отчёте Uptycs. “После того, как троян был успешно внедрен, злоумышленники могут взаимодействовать со своей жертвой через блокнот Windows, который, вероятно, служит каналом связи”.
Parallax RAT предоставляет хакерам удаленный доступ к скомпрометированным компьютерам. Он поставляется с функциями для загрузки и скачивания файлов, а также записи нажатий клавиш и снимков экрана.
Parallax используется с начала 2020 года и ранее доставлялся с помощью приманок на тему COVID-19. В феврале 2022 года компания Proofpoint подробно описала группировку под кодовым названием TA2541, нацеленную на авиацию, аэрокосмическую, транспортную, производственную и оборонную отрасли, использующую различные варианты RAT, включая Parallax.
Полезная нагрузка Parallax – это вредоносное ПО Visual C++, использующее метод “Process Hollowing” для внедрения Parallax в законный компонент Windows под названием pipanel.exe. Помимо сбора системных метаданных, вредонос также может получать доступ к информации, хранящейся в буфере обмена, и даже удаленно перезагружать или выключать скомпрометированную машину.
Метод работы киберпреступников включает в себя использование общедоступных инструментов, таких как DNSdumpster, для идентификации почтовых серверов, принадлежащих целевым компаниям. Идентификация происходит с помощью записей почтового обменника компаний. А затем злоумышленники направляют туда фишинговые электронные письма, содержащие вредоносное ПО Parallax RAT.
Одним из примечательных аспектов атак является использование стандартной утилиты “блокнот” для инициирования разговоров с жертвами и перенаправлением их в Telegram-канал злоумышленников. Анализ данного Telegram-канала специалистами Uptycs показал, что хакеры проявляют интерес к криптовалютным компаниям, таким как инвестиционные фирмы, биржи и поставщики услуг кошельков.
“Одной из причин привлекательности Telegram для киберпреступников является предполагаемое встроенное шифрование и возможность создавать каналы и большие частные группы. Эти функции мешают правоохранительным органам и исследователям в области безопасности отслеживать и отслеживать преступную деятельность на платформе. Кроме того, киберпреступники часто используют закодированный язык и альтернативные варианты написания для общения в Telegram, что еще больше затрудняет расшифровку их разговоров”, – говорится в исчерпывающем анализе KELA, опубликованном в прошлом месяце.