国家计算机病毒应急处理中心通过对互联网的监测,发现名为“Parallax”的恶意软件最新攻击活动的技术细节。Parallax恶意软件是一款远程控制程序,支持当前全部的Windows系统,该恶意软件可以绕过主流的检测方案,其具有窃取机密信息、执行远程指令等多种功能,在今年2月该恶意软件曾出现在多个与新冠病毒为主题相关的网络攻击活动中。
攻击者采用鱼叉式钓鱼攻击向目标发送带有恶意代码的诱饵文档,攻击分为两个阶段:第一阶段,当用户打开恶意word文档,攻击者会利用社会工程学诱导目标启用宏,当恶意宏代码运行后会释放恶意DLL程序到系统的临时目录中,该恶意DLL运行后会注入到系统的记事本进程中,这样可以更好的进行伪装,不会被安全软件检测到;第二阶段,从文本分享网站下载并解密Parallax恶意程序的加载器程序,该加载器运行后会将恶意代码注入到系统的远程桌面进程中,该进程启动后会从图片分享网站下载包含有Parallax恶意程序的图片,并将图片解密后注入到系统的cmd进程中运行,通过创建计划任务的方式在不同的时间启动Parallax恶意程序。
Parallax恶意程序被攻击者应用于多个攻击事件中,表明恶意软件以服务的形式提供给攻击者已经成为流行的趋势,该恶意程序的投放过程采用了包括隐写术在内的多种技术以防止杀毒软件的查杀,说明该恶意程序和杀毒软件之间的较量会长期并存。