Morphisec Labs виявила сплеск кампаній Parallax RAT — нового віддаленого трояна, який обходить сучасні антивіруси. Цей RAT, що підтримує всі версії Windows, викрадає паролі, виконує віддалені команди та пов’язаний із шахрайськими COVID-кампаніями.

Як це працює? Атака починається з фішингового Word-документа з макросами. Після їх активації в %Temp% створюється DLL, яка інжектує шелкод у Notepad.exe. Далі завантажується Parallax RAT із Pastebin, а зашифрований пейлоад у вигляді зображення — з Imgur. Для стійкості створюються завдання в планувальнику Windows. Шелкод використовує прямі системні виклики, щоб уникнути виявлення.

Що загрожує? Викрадення даних, виконання команд і персистентність у системі через приховані завдання.

Як захиститися?

-Не активуйте макроси в підозрілих документах.
-Перевірте систему за хешами (наприклад, SHA1: -2b2eaf94189d21b7a4418ff480fa332832aa0d98).
-Використовуйте захист від безфайлових атак, як-от Morphisec Moving Target Defense.
-Оновлюйте Windows і антивірусне ПЗ.

Parallax RAT — приклад Malware-as-a-Service, який стає дедалі небезпечнішим. Захищайте свої системи!