Parallax RAT атакует криптовалютные компании

Эксперты Uptys опубликовали отчет, в котором проанализировали вредоносную кампанию по распространению трояна Parallax RAT с возможностью удаленного управления. Целью злоумышленников являются криптовалютные организации. ПО внедряется в легитимные процессы, что затрудняет его обнаружение. Метод работы киберпреступников включает в себя использование общедоступных инструментов, таких как DNSdumpster, для идентификации почтовых серверов, принадлежащих целевым компаниям. Идентификация происходит с помощью записей почтового обменника компаний. Затем злоумышленники направляют фишинговые письма, содержащие вредоносное ПО Parallax RAT. Одним из аспектов атак является использование стандартной утилиты «Блокнот» для инициирования разговоров с жертвами и перенаправлением их в Telegram-канал преступников.


Буткит BlackLotus способен обходить безопасную загрузку UEFI

Специалисты Eset Research поделились анализом буткита, который может работать даже на полностью обновленных системах Windows 11 с включенной функцией безопасной загрузки UEFI. Буткит распространяется в виде установщиков, которые эксплуатируют легитимные, но уязвимые двоичные файлы Windows для обхода безопасной загрузки. Цель установщика - отключение функций безопасности Windows, таких как шифрование диска BitLocker и HVCI (Hypervisor-protected Code Integrity). После этого ВПО записывает несколько файлов, включая вредоносный буткит, в ESP (системный раздел, с которого происходит загрузка системы). После завершения он перезагружает скомпрометированную машину, чтобы убедиться, что самоподписанный буткит UEFI будет автоматически выполняться при каждом запуске системы, независимо от состояния защиты UEFI Secure Boot. В отчете также приведены файловые индикаторы компрометации исследуемого ВПО.


Служба маршалов США пострадала от программы-вымогателя

Malwarebytes опубликовало сообщение об атаке на службу маршалов США (USMS). В ходе компрометации злоумышленнику удалось получить конфиденциальную информацию о сотрудниках и беглецах. Как и в случае с большинством современных атак программ-вымогателей, злоумышленник скачивал найденные данные перед запуском процедуры шифрования. Команда вымогателей угрожают раскрыть украденную информацию на сайтах утечки в качестве дополнительного рычага, чтобы заставить жертву заплатить выкуп. По словам источников, злоумышленники не получили доступа к данным, связанным с программой защиты свидетелей WITSEC. Пока не ясно, какая группа вымогателей стоит за атакой.