Kripto para şirketleri, Parallax RAT adlı uzaktan erişim truva atı sağlayan yeni bir kampanyanın parçası olarak hedefleniyor.
Uptycs yeni bir raporda, kötü amaçlı yazılımın “meşru süreçler içinde saklanmak için enjeksiyon teknikleri kullandığını ve tespit edilmesini zorlaştırdığını” söyledi. “Başarılı bir şekilde enjekte edildikten sonra, saldırganlar kurbanlarıyla muhtemelen bir iletişim kanalı görevi gören Windows Not Defteri aracılığıyla etkileşime geçebilir.”
Parallax RAT, saldırganlara kurban makinelere uzaktan erişim sağlar. Dosya yükleme ve indirmenin yanı sıra tuş vuruşlarını ve ekran görüntülerini kaydetme özellikleriyle birlikte gelir.
2020’nin başlarından beri kullanıma sunuldu ve daha önce COVID-19 temalı yemlerle teslim edildi. Şubat 2022’de Proofpoint, TA2541 adlı bir siber suç tehdit aktörünün Parallax da dahil olmak üzere farklı RAT’ler kullanarak havacılık, havacılık, nakliye, üretim ve savunma endüstrilerini hedef aldığını ayrıntılı olarak açıkladı.
İlk yük, Parallax RAT’ı pipanel.exe adlı meşru bir Windows bileşenine enjekte etmek için işlem boşaltma tekniğini kullanan bir Visual C++ kötü amaçlı yazılımıdır.
Parallax RAT, sistem meta verilerini toplamanın yanı sıra panoda depolanan verilere erişme ve hatta güvenliği ihlal edilmiş makineyi uzaktan yeniden başlatma veya kapatma yeteneğine de sahiptir.
Saldırıların dikkate değer bir yönü, kurbanlarla konuşma başlatmak ve onlara aktör kontrollü bir Telegram kanalına bağlanma talimatı vermek için Not Defteri yardımcı programının kullanılmasıdır.
Uptycs’in Telegram sohbetine ilişkin analizi, tehdit aktörünün yatırım firmaları, borsalar ve cüzdan hizmeti sağlayıcıları gibi kripto şirketlerine ilgi duyduğunu ortaya koyuyor.
Çalışma yöntemi, hedef şirketlere ait posta sunucularını posta değiştirici (MX) kayıtları aracılığıyla belirlemek ve Parallax RAT kötü amaçlı yazılımını içeren kimlik avı e-postaları göndermek için DNSdumpster gibi genel kaynakların aranmasını gerektirir.
Gelişme, Telegram’ın suç faaliyetleri için giderek daha fazla bir merkez haline gelmesi ve kısmen platformun gevşek denetleme çabaları nedeniyle tehdit aktörlerinin operasyonlarını organize etmelerine, kötü amaçlı yazılım dağıtmalarına ve çalınan verilerin ve diğer yasa dışı malların satışını kolaylaştırmalarına olanak sağladığında ortaya çıkıyor.
KELA, geçen ay yayınlanan kapsamlı bir analizde, “Telegram’ın siber suçlular için çekici olmasının bir nedeni, sözde yerleşik şifrelemesi ve kanallar ile büyük, özel gruplar oluşturma yeteneğidir.”
“Bu özellikler, kolluk kuvvetleri ve güvenlik araştırmacılarının platformdaki suç faaliyetlerini izlemesini ve izlemesini zorlaştırıyor. Ek olarak, siber suçlular Telegram’da iletişim kurmak için genellikle kodlanmış dil ve alternatif yazımlar kullanıyor, bu da konuşmalarının şifresini çözmeyi daha da zorlaştırıyor.”