Categorie
Sicurezza Informatica

Parallax RAT, il malware si diffonde tramite spam e phishing

Tempo di lettura: 2 minuti. Prese di mira le aziende di criptovaluta con sofisticate tecniche di iniezione

Tempo di lettura: 2 minuti.

Il team Uptycs Threat Research ha recentemente rilevato campioni attivi del Trojan ad Accesso Remoto Parallax RAT. Prendendo di mira organizzazioni di criptovaluta il RAT utilizzerebbe tecniche di injection per nascondersi all’interno di processi legittimi, rendendone difficile il rilevamento. Gli operatori malevoli interagirebbero con le loro vittime utilizzando il Notepad di Windows come canale di comunicazione.

Parallax RAT, visto distribuito da dicembre 2019 tramite campagne spam e phishing anche a tema COVID, è un malware capace di eseguire furtivamente la lettura di credenziali di accesso, l’accesso ai file, il keylogging e il controllo remoto delle macchine compromesse.

Il flusso di attacco

Il flusso di attacco prevede tre stadi:

  • Nel primo stadio payload1 un malware Visual C++ per mantenere la persistenza crea una copia di se stesso nella cartella di Avvio di Windows e viene eseguito;
  • nel secondo stadio payload1 utilizzando la tecnica del process hollowing inietta payload2 ovvero Parallax RAT in un componente Windows legittimo chiamato pipanel.exe che attraverso l’algoritmo RC4 recupera le DLL necessarie per ulteriori azioni, instaurando una comunicazione C2;
  • nel terzo stadio Collection, Parallax RAT è adesso pronto a raccogliere metadati di sistema, accedere ai dati archiviati negli appunti e persino di riavviare o spegnere da remoto la macchina compromessa.
Fonte Uptycs

Un’ultimo aspetto degno di nota è l’uso dell’utilità Notepad di Microsoft Windows per avviare conversazioni con le vittime e istruirle a connettersi a un canale Telegram controllato dallo stesso attore.

Fonte Uptycs

Importante la consapevolezza

Secondo Uptycs i responsabili di questa campagna analizzata, prenderebbero gli indirizzi e-mail privati ​​delle società di criptovaluta target dal sito Web dnsdumpster.com, diffondendo successivamente tramite e-mail di phishing gli allegati malevoli (solitamente file Word).

Fonte Uptycs

Questa nuova campagna Parallax RAT è inoltre indicativa della tendenza verso il Malware-as-a-Service, un’arma in più nelle mani anche di operatori poco esperti.

Parallax RAT lo ricordiamo è un prodotto venduto su varie piattaforme underground con piani e abbonamenti diversi e aggiornamenti regolari gratuiti, il che rende l’offerta ancora più interessante per i criminali.

È importante che le organizzazioni siano consapevoli dell’esistenza di questo malware e prendano le precauzioni necessarie per proteggere sistemi e dati“, conclude Uptycs. 

Il team ha reso inoltre disponibili tutti gli IoC del caso nell’appendice del rapporto.

Di Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version