Perusahaan cryptocurrency menjadi sasaran sebagai bagian dari kampanye baru yang memberikan trojan akses jarak jauh yang disebut Parallax RAT.
Malware itu "menggunakan teknik injeksi untuk bersembunyi di dalam proses yang sah, sehingga sulit dideteksi," kata Uptycs dalam sebuah laporan baru. "Setelah berhasil disuntikkan, penyerang dapat berinteraksi dengan korban mereka melalui Windows Notepad yang kemungkinan berfungsi sebagai saluran komunikasi."
Parallax RAT memberi penyerang akses jarak jauh ke mesin korban. Muncul dengan fitur untuk mengunggah dan mengunduh file serta merekam penekanan tombol dan tangkapan layar.
Ini telah digunakan sejak awal 2020 dan sebelumnya disampaikan melalui umpan bertema COVID-19. Pada Februari 2022, Proofpoint merinci kluster aktivitas yang dijuluki TA2541 yang menargetkan industri penerbangan, kedirgantaraan, transportasi, manufaktur, dan pertahanan menggunakan RATs yang berbeda, termasuk Parallax.
Payload pertama adalah malware Visual C++ yang menggunakan teknik proses hollowing untuk menyuntikkan Parallax RAT ke dalam komponen Windows yang sah yang disebut pipanel.exe.
Parallax RAT, selain mengumpulkan metadata sistem, juga mampu mengakses data yang disimpan di clipboard dan bahkan me-reboot atau mematikan mesin yang disusupi dari jarak jauh.
Salah satu aspek penting dari serangan ini adalah penggunaan utilitas Notepad untuk memulai percakapan dengan para korban dan menginstruksikan mereka untuk terhubung ke saluran Telegram yang dikendalikan aktor.
Analisis Uptycs terhadap obrolan Telegram mengungkapkan bahwa aktor ancaman memiliki minat pada perusahaan kripto seperti perusahaan investasi, bursa, dan penyedia layanan dompet.
Modus operandinya memerlukan pencarian sumber publik seperti DNSdumpster untuk mengidentifikasi server email milik perusahaan yang ditargetkan melalui catatan mail exchanger (MX) mereka dan mengirim email phishing yang mengandung malware Parallax RAT.