Зловреден софтуер PureRAT
Изследователи по киберсигурност разкриха мащабна фишинг кампания, насочена към руски организации, доставяща зловреден софтуер, известен като PureRAT. Въпреки че кампанията започна през март 2023 г., тя отбеляза драматичен скок в началото на 2025 г., като броят на атаките, наблюдавани през същия период на 2024 г., се учетвори. Въпреки че не е идентифициран конкретен хакер, използваните методи и зловреден софтуер показват силно координирана операция.
Съдържание
Подвеждаща доставка: Анатомия на атаката
Атаката започва с фишинг имейл, който съдържа .RAR архив или линк за изтегляне. Маскиран с подвеждащи двойни разширения (напр. doc_054_[redacted].pdf.rar), архивът се представя за Microsoft Word или PDF файл. След като жертвата отвори файла, се стартира изпълним файл вътре.
Този изпълним файл извършва няколко скрити действия:
- Копира се в %AppData% като task.exe
- Създава скрипт Task.vbs в папката Startup за постоянство
- Извлича и изпълнява ckcfb.exe
На свой ред, ckcfb.exe използва InstallUtil.exe, за да изпълни декриптиран модул. Той също така декриптира и зарежда Spydgozoi.dll, който съдържа основния полезен товар на PureRAT.
Дистанционно управление: Какво може да прави PureRAT
След като се установи, PureRAT установява криптирана връзка със сървър за командване и контрол (C2) и предава системна информация. След това може да приема и изпълнява повредени модули, като например:
Опция за плъгин за компютър
- Извършва самоизтриване
- Рестартира процесите на злонамерен софтуер
- Изключва или рестартира системата
PluginWindowNotify
- Следи активните прозорци за чувствителни ключови думи (напр. парола, банка)
- Може да инициира действия като неоторизирани преводи на средства
PluginClipper
- Заменя копираните адреси на портфейли с криптовалута с контролирани от хакера
Освен това, PureRAT предоставя на нападателите:
- Кейлогинг
- Управление на отдалечен работен плот
- Достъп до файлове, регистър, камера, микрофон и работещи процеси
Многослойна инфекция: Повече от просто PureRAT
Първоначалният изпълним файл също така извлича StilKrip.exe, търговски инструмент за изтегляне, известен като PureCrypter, който е в обращение от 2022 г. Този инструмент изтегля вторичен файл, Bghwwhmlr.wav, който задейства нова верига за изпълнение. Тази последователност в крайна сметка стартира Ttcxxewxtly.exe, което води до активирането на Bftvbho.dll, основният компонент на втори щам на зловреден софтуер, известен като PureLogs.
PureLogs функционира като мощен крадец на информация. След като е активен, той тихомълком събира широк спектър от чувствителни данни, включително идентификационни данни и потребителска информация от уеб браузъри, имейл клиенти, VPN услуги и приложения за съобщения. Той е насочен и към мениджъри на пароли, приложения за портфейли с криптовалута и широко използвани инструменти за прехвърляне на файлове като FileZilla и WinSCP, предоставяйки на нападателите дълбок достъп както до лични, така и до организационни данни.
Заключение: Имейлът все още е най-слабото звено
Комбинацията от PureRAT и PureLogs предлага на киберпрестъпниците широки възможности за шпиониране, събиране и контрол на компрометирани системи. Продължаващото използване на фишинг имейли с опасни прикачени файлове или връзки продължава да бъде основната входна точка, което подчертава критичната необходимост от надеждно филтриране на имейли и осведоменост на потребителите в организационната киберсигурност.
