Команда Uptycs Threat Research недавно обнаружила активные образцы троянца удаленного доступа (RAT) Parallax, нацеленного на криптовалютные организации. Он использует технику инъекций, чтобы спрятаться внутри легитимных процессов, что затрудняет его обнаружение. После успешной инъекции злоумышленники могут взаимодействовать со своей жертвой через блокнот Windows, который, вероятно, служит каналом связи.
Parallax RAT (он же ParallaxRAT) распространяется через спам-кампании или фишинговые письма (с вложениями) с декабря 2019 года. Вредоносная программа выполняет такие вредоносные действия, как чтение учетных данных для входа в систему, доступ к файлам, кейлоггинг, удаленное управление рабочим столом и удаленное управление скомпрометированными машинами.
ParallaxRAT
Скомпилированная с помощью Visual C++, полезная нагрузка представляет собой двоичный файл в виде 32-битного исполняемого файла. Похоже, что он был намеренно обфусцирован субъектами угроз (TA), желающими что-то скрыть.
Более того, этот раздел был помечен флагом "Code and Executable", что указывает на то, что он содержит исполняемый код. TA смог расшифровать его содержимое и использовать его для создания нового двоичного файла, который мы называем полезной нагрузкой (т.е. Parallax RAT). Полезная нагрузка использует технику, известную как process-hollowing, для внедрения полезной нагрузки2 в легитимный процесс Microsoft pipanel.exe, который затем запускается злоумышленником.
Для сохранения устойчивости полезная нагрузка создает свою копию в папке Windows Startup.
ParallaxRAT представляет собой 32-битный двоичный исполняемый файл, который собирает конфиденциальную информацию с виктимизированных машин, например, системную информацию, ведет перехват клавиатуры и осуществляет удаленное управление.
Он имеет нулевые каталоги импорта, а зашифрованные данные хранятся в разделе .data. Злоумышленник использует алгоритм RC4 для расшифровки этих данных, открывая DLL, необходимые для дальнейших действий.
Злоумышленник может извлечь конфиденциальную информацию с машины жертвы, включая имя компьютера и версию операционной системы (ОС). Атакующий может прочитать данные, хранящиеся в буфере обмена.
Злоумышленник имеет возможность читать и записывать нажатия клавиш своей жертвы, которые затем шифруются и хранятся в каталоге %appdata%\Roaming\Data\Keylog_[Data].
После успешного заражения машины жертвы вредоносная программа отправляет злоумышленнику уведомление. Затем они взаимодействуют с жертвой, задавая вопросы через блокнот и инструктируя ее подключиться к каналу Telegram.
Злоумышленник может удаленно выключить или перезагрузить машину жертвы.
Бинарный файл ParallaxRAT был извлечен из памяти и самостоятельно выполнен, при этом он сбрасывает файл UN.vbs и запускает его с помощью инструмента wscript.exe. Сценарий удаляет полезную нагрузку и стирает все следы ее существования.
Агент угрозы использует коммерчески доступный троянский инструмент удаленного доступа (RAT). Он захватывает частные адреса электронной почты криптовалютных компаний с веб-сайта dnsdumpster.com. Впоследствии ParallaxRAT распространял вредоносные файлы через фишинговые электронные письма и получал конфиденциальные данные.
Indicators of Compromise
IPv4 Port Combinations
- 144.202.9.245:80
MD5
- 3c98cee428375b531a5c98f101b1e063
- 40256ea622aa1d0678f5bde48b9aa0fb
- 698463fffdf10c619ce6aebcb790e46a