Las empresas de criptomonedas est\u00e1n siendo atacadas como parte de una nueva campa\u00f1a que ofrece un troyano de acceso remoto llamado Parallax RAT.<\/p>\n
El malware “utiliza t\u00e9cnicas de inyecci\u00f3n para esconderse dentro de procesos leg\u00edtimos, lo que dificulta su detecci\u00f3n”, Uptycs dicho<\/a> en un nuevo informe. “Una vez que se ha inyectado con \u00e9xito, los atacantes pueden interactuar con su v\u00edctima a trav\u00e9s del Bloc de notas de Windows que probablemente sirva como canal de comunicaci\u00f3n”.<\/p>\n RATA de paralaje<\/a> otorga a los atacantes acceso remoto a las m\u00e1quinas de las v\u00edctimas. Viene con funciones para cargar y descargar archivos, as\u00ed como para grabar pulsaciones de teclas y capturas de pantalla.<\/p>\n Se ha puesto en uso desde principios de 2020 y fue entregado previamente<\/a> a trav\u00e9s de se\u00f1uelos tem\u00e1ticos de COVID-19. En febrero de 2022, Proofpoint detall\u00f3 un actor de amenazas cibern\u00e9ticas denominado TA2541 dirigido a las industrias de aviaci\u00f3n, aeroespacial, transporte, fabricaci\u00f3n y defensa que utilizan diferentes RAT, incluido Parallax.<\/p>\n El primer payload es un malware de Visual C++ que emplea el proceso de vaciado<\/a> t\u00e9cnica para inyectar Parallax RAT en un componente leg\u00edtimo de Windows llamado pipanel.exe<\/a>.<\/p>\n Parallax RAT, adem\u00e1s de recopilar metadatos del sistema, tambi\u00e9n es capaz de acceder a los datos almacenados en el portapapeles e incluso reiniciar o apagar la m\u00e1quina comprometida de forma remota.<\/p>\n Un aspecto notable de los ataques es el uso de la utilidad Bloc de notas para iniciar conversaciones con las v\u00edctimas e indicarles que se conecten a un canal de Telegram controlado por el actor.<\/p>\n El an\u00e1lisis de Uptycs del chat de Telegram revela que el actor de amenazas tiene inter\u00e9s en las empresas criptogr\u00e1ficas, como las empresas de inversi\u00f3n, los intercambios y los proveedores de servicios de billetera. <\/p>\n El modus operandi implica buscar fuentes p\u00fablicas como DNSdumpster para identificar servidores de correo pertenecientes a las empresas objetivo a trav\u00e9s de su intercambiador de correo (MX<\/a>) y el env\u00edo de correos electr\u00f3nicos de phishing con el malware Parallax RAT.<\/p>\n El desarrollo se produce cuando Telegram se est\u00e1 convirtiendo cada vez m\u00e1s en un centro de actividades delictivas, lo que permite a los actores de amenazas organizar sus operaciones, distribuir malware y facilitar la venta de datos robados y otros bienes ilegales, en parte debido a los esfuerzos de moderaci\u00f3n poco estrictos de la plataforma.<\/p>\n “Una de las razones por las que Telegram es atractivo para los ciberdelincuentes es su supuesta encriptaci\u00f3n integrada y la capacidad de crear canales y grandes grupos privados”, KELA revelado<\/a> en un an\u00e1lisis exhaustivo publicado el mes pasado.<\/p>\n “Estas funciones dificultan que los investigadores encargados de hacer cumplir la ley y la seguridad supervisen y rastreen la actividad delictiva en la plataforma. Adem\u00e1s, los ciberdelincuentes suelen utilizar lenguaje codificado y graf\u00edas alternativas para comunicarse en Telegram, lo que dificulta a\u00fan m\u00e1s descifrar sus conversaciones”.<\/p>\n <\/p>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFUC-w3oF-qQ7aKtHkUus1P5voeAOyKv5G7yV1x_AGc6XLeql_dVCGJDmODAuLj5JvI-Es2ScgZnUIUG_XYwEqjQ0KNNih3Fz77TELPVCbQbH-M7-Bhq3RG5TPxzo3fiB6_pGUmORq9vbGYr4lqNSd6vABC1qy4wSqlFE63idlIEdZIusEAeHrIPlX\/s728-e365\/map.png\")
<\/div>\n