Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós PureRAT

Programari maliciós PureRAT

El Mezo el Programari maliciós, Eines d'administració remota
Traduir a:

Investigadors de ciberseguretat han descobert una important campanya de phishing dirigida a organitzacions russes, que utilitza un programari maliciós de porta secundària conegut com a PureRAT. Tot i que la campanya va començar el març del 2023, va experimentar un augment espectacular a principis del 2025, quadruplicant el nombre d'atacs observats durant el mateix període del 2024. Tot i que no s'ha identificat cap actor d'amenaça específic, els mètodes i el programari maliciós utilitzats indiquen una operació altament coordinada.

Lliurament enganyós: l’anatomia de l’atac

L'atac s'inicia amb un correu electrònic de phishing que conté un arxiu .RAR o un enllaç de descàrrega. Disfressat amb extensions dobles enganyoses (per exemple, doc_054_[redacted].pdf.rar), l'arxiu simula ser un fitxer de Microsoft Word o PDF. Un cop la víctima obre el fitxer, s'inicia un executable que conté.

Aquest executable realitza diverses accions furtives:

  • Es copia a %AppData% com a task.exe
  • Crea un script Task.vbs a la carpeta d'inici per a la persistència.
  • Extreu i executa ckcfb.exe

Al seu torn, ckcfb.exe procedeix a utilitzar InstallUtil.exe per executar un mòdul desxifrat. També desxifra i carrega Spydgozoi.dll, que conté la càrrega útil principal de PureRAT.

Control remot: què pot fer PureRAT

Després d'establir-se, PureRAT estableix una connexió xifrada amb un servidor de comandament i control (C2) i transmet informació del sistema. Aleshores, pot rebre i executar mòduls corruptes, com ara:

Opció de PC del complement

  • Executa l'autoeliminació
  • Reinicia els processos de programari maliciós
  • Apaga o reinicia el sistema

PluginWindowNotify

  • Supervisa les finestres actives per a paraules clau sensibles (per exemple, contrasenya, banc)
  • Pot iniciar accions com ara transferències de fons no autoritzades

Retallador de complements

  • Substitueix les adreces de cartera de criptomonedes copiades per les controlades per l'atacant.

A més, PureRAT proporciona als atacants:

  • Registre de teclats
  • Control remot de l'escriptori
  • Accés als fitxers, al registre, a la càmera, al micròfon i als processos en execució

Infecció en capes: més que només PureRAT

L'executable inicial també extreu StilKrip.exe, un descarregador comercial conegut com a PureCrypter que ha estat en circulació des del 2022. Aquesta eina procedeix a descarregar un fitxer secundari, Bghwwhmlr.wav, que activa una nova cadena d'execució. Aquesta seqüència finalment inicia Ttcxxewxtly.exe, cosa que porta a l'activació de Bftvbho.dll, el component principal d'una segona soca de programari maliciós coneguda com a PureLogs.

PureLogs funciona com un potent lladre d'informació. Un cop actiu, recopila silenciosament una àmplia gamma de dades sensibles, incloses credencials i informació d'usuari de navegadors web, clients de correu electrònic, serveis VPN i aplicacions de missatgeria. També ataca gestors de contrasenyes, aplicacions de moneders de criptomonedes i eines de transferència de fitxers àmpliament utilitzades com FileZilla i WinSCP, donant als atacants accés profund a dades personals i organitzatives.

Conclusió: el correu electrònic continua sent l’enllaç més feble

La combinació de PureRAT i PureLogs ofereix als ciberdelinqüents àmplies capacitats per espiar, recopilar i controlar els sistemes compromesos. L'ús continu de correus electrònics de phishing amb fitxers adjunts o enllaços nocius continua sent el principal punt d'entrada, cosa que subratlla la necessitat crítica d'un filtratge robust del correu electrònic i la conscienciació dels usuaris en les defenses de ciberseguretat organitzatives.

Tendència

Més vist

Carregant...