Las empresas de criptomonedas están siendo atacadas como parte de una nueva campaña que ofrece un troyano de acceso remoto llamado Parallax RAT.
El malware «utiliza técnicas de inyección para esconderse dentro de procesos legítimos, lo que dificulta su detección», Uptycs dicho en un nuevo informe. «Una vez que se ha inyectado con éxito, los atacantes pueden interactuar con su víctima a través del Bloc de notas de Windows que probablemente sirva como canal de comunicación».
RATA de paralaje otorga a los atacantes acceso remoto a las máquinas de las víctimas. Viene con funciones para cargar y descargar archivos, así como para grabar pulsaciones de teclas y capturas de pantalla.
Se ha puesto en uso desde principios de 2020 y fue entregado previamente a través de señuelos temáticos de COVID-19. En febrero de 2022, Proofpoint detalló un actor de amenazas cibernéticas denominado TA2541 dirigido a las industrias de aviación, aeroespacial, transporte, fabricación y defensa que utilizan diferentes RAT, incluido Parallax.
El primer payload es un malware de Visual C++ que emplea el proceso de vaciado técnica para inyectar Parallax RAT en un componente legítimo de Windows llamado pipanel.exe.
Parallax RAT, además de recopilar metadatos del sistema, también es capaz de acceder a los datos almacenados en el portapapeles e incluso reiniciar o apagar la máquina comprometida de forma remota.
Un aspecto notable de los ataques es el uso de la utilidad Bloc de notas para iniciar conversaciones con las víctimas e indicarles que se conecten a un canal de Telegram controlado por el actor.
El análisis de Uptycs del chat de Telegram revela que el actor de amenazas tiene interés en las empresas criptográficas, como las empresas de inversión, los intercambios y los proveedores de servicios de billetera.
El modus operandi implica buscar fuentes públicas como DNSdumpster para identificar servidores de correo pertenecientes a las empresas objetivo a través de su intercambiador de correo (MX) y el envío de correos electrónicos de phishing con el malware Parallax RAT.
El desarrollo se produce cuando Telegram se está convirtiendo cada vez más en un centro de actividades delictivas, lo que permite a los actores de amenazas organizar sus operaciones, distribuir malware y facilitar la venta de datos robados y otros bienes ilegales, en parte debido a los esfuerzos de moderación poco estrictos de la plataforma.
«Una de las razones por las que Telegram es atractivo para los ciberdelincuentes es su supuesta encriptación integrada y la capacidad de crear canales y grandes grupos privados», KELA revelado en un análisis exhaustivo publicado el mes pasado.
«Estas funciones dificultan que los investigadores encargados de hacer cumplir la ley y la seguridad supervisen y rastreen la actividad delictiva en la plataforma. Además, los ciberdelincuentes suelen utilizar lenguaje codificado y grafías alternativas para comunicarse en Telegram, lo que dificulta aún más descifrar sus conversaciones».