أصبحت شركات Cryptocurrency جزءًا من حملة جديدة تقدم وصولاً عن بعد إلى حصان طروادة يسمى Parallax RAT.
وقالت Uptycs في تقرير جديد إن البرامج الضارة تستخدم تقنيات الحقن للاختباء ضمن عمليات مشروعة، مما يجعل من الصعب اكتشافها. بمجرد الحقن بنجاح، يمكن للمهاجم التفاعل مع الضحية من خلال برنامج Windows Notepad الذي قد يعمل كقناة اتصال.
يسمح Parallax RAT للمهاجمين بالوصول عن بعد إلى أجهزة الضحايا. يحتوي على ميزات لتحميل الملفات وتنزيلها بالإضافة إلى تسجيل ضغطات المفاتيح ولقطات الشاشة.
تم استخدامه منذ أوائل عام 2020 وتم تسليمه سابقًا عبر إغراء تحت عنوان COVID-19. في فبراير 2022، قام موقع Proofpoint بتفصيل عنصر تهديد الجريمة السيبرانية الذي يحمل الاسم الرمزي TA2541 والذي كان يستخدم العديد من RATs، بما في ذلك Parallax، لاستهداف صناعات الطيران والنقل والتصنيع والدفاع.
الحمولة الأولى عبارة عن برنامج ضار لـ Visual C يستخدم غرفة العمليات لحقن Parallax RAT في مكون Windows شرعي يسمى pipanel.exe.
بالإضافة إلى جمع البيانات الوصفية للنظام، فإن Parallax RAT قادر أيضًا على الوصول إلى البيانات المخزنة في الحافظة وحتى إعادة التشغيل عن بُعد أو إيقاف تشغيل الأجهزة المصابة.
يتمثل أحد الجوانب البارزة للهجوم في استخدام الأداة المساعدة Notepad لبدء محادثة مع الضحية وقيادتها للاتصال بقناة Telegram التي يتحكم فيها المهاجم.
كشف تحليل Uptycs لمحادثات Telegram أن ممثل التهديد مهتم بشركات التشفير مثل شركات الاستثمار والبورصات ومقدمي خدمات المحفظة.
تتضمن طريقة العمل البحث عن الموارد العامة مثل DNSdumpster لتحديد خوادم البريد التابعة للشركة المستهدفة من خلال سجلات تبادل البريد (MX) وإرسال رسائل البريد الإلكتروني المخادعة التي تحمل البرامج الضارة Parallax RAT.
نظرًا لأن Telegram أصبح بشكل متزايد مركزًا للنشاط الإجرامي، فقد تمكن الفاعلون المهددون من تنظيم عملياتهم وتوزيع البرامج الضارة وتسهيل بيع البيانات المسروقة وغيرها من السلع غير المشروعة، ويرجع ذلك جزئيًا إلى جهود الإشراف المتراخية للمنصة.
في تحليل شامل نُشر الشهر الماضي، كشفت KELA أن أحد أسباب جاذبية Telegram لمجرمي الإنترنت هو ما يسمى بالتشفير المدمج والقدرة على إنشاء قنوات ومجموعات خاصة كبيرة.
تجعل هذه الميزات من الصعب على الباحثين في مجال إنفاذ القانون والأمن مراقبة وتتبع النشاط الإجرامي على المنصة. بالإضافة إلى ذلك، غالبًا ما يتواصل مجرمو الإنترنت على Telegram باستخدام لغة مشفرة وهجاء بديل، مما يزيد من صعوبة فك تشفير محادثاتهم.