Malware PureRAT
Výzkumníci v oblasti kybernetické bezpečnosti odhalili rozsáhlou phishingovou kampaň zaměřenou na ruské organizace, která šíří malware s backdoorem známý jako PureRAT. Ačkoli kampaň začala v březnu 2023, začátkem roku 2025 došlo k dramatickému nárůstu, čímž se počet útoků zaznamenaných ve stejném období roku 2024 čtyřnásobně zvýšil. I když nebyl identifikován žádný konkrétní aktér hrozby, použité metody a malware naznačují vysoce koordinovanou operaci.
Obsah
Klamlivé doručení: Anatomie útoku
Útok začíná phishingovým e-mailem, který obsahuje archiv .RAR nebo odkaz ke stažení. Archiv je maskován zavádějícími dvojitými příponami (např. doc_054_[redigováno].pdf.rar) a předstírá, že je to soubor Microsoft Word nebo PDF. Jakmile oběť soubor otevře, spustí se spustitelný soubor uvnitř.
Tento spustitelný soubor provádí několik nenápadných akcí:
- Zkopíruje se do %AppData% jako task.exe
- Vytvoří skript Task.vbs ve složce Po spuštění pro zajištění trvalosti.
- Rozbalí a spustí soubor ckcfb.exe
Soubor ckcfb.exe následně pomocí souboru InstallUtil.exe spustí dešifrovaný modul. Současně dešifruje a načte soubor Spydgozoi.dll, který obsahuje primární datovou část PureRAT.
Dálkové ovládání: Co PureRAT umí
Po získání opěrného bodu PureRAT naváže šifrované spojení se serverem Command-and-Control (C2) a předává systémové informace. Poté může přijímat a spouštět poškozené moduly, jako například:
Možnost pluginu pro PC
- Provede automatické smazání
- Restartuje procesy malwaru
- Vypne nebo restartuje systém
PluginWindowNotify
- Monitoruje aktivní okna a hledá citlivá klíčová slova (např. heslo, banka)
- Může iniciovat akce, jako jsou neoprávněné převody finančních prostředků
PluginClipper
- Nahrazuje zkopírované adresy kryptoměnových peněženek adresami ovládanými útočníkem
PureRAT navíc útočníkům poskytuje:
- Keylogging
- Ovládání vzdálené plochy
- Přístup k souborům, registru, kameře, mikrofonu a spuštěným procesům
Vrstvená infekce: Více než jen PureRAT
Počáteční spustitelný soubor také extrahuje StilKrip.exe, komerční stahovací program známý jako PureCrypter, který je v oběhu od roku 2022. Tento nástroj poté stáhne sekundární soubor Bghwwhmlr.wav, což spustí nový řetězec spouštění. Tato sekvence nakonec spustí Ttcxxewxtly.exe, což vede k aktivaci Bftvbho.dll, klíčové součásti druhého kmene malwaru známého jako PureLogs.
PureLogs funguje jako mocný nástroj pro krádež informací. Jakmile je aktivován, tiše shromažďuje širokou škálu citlivých dat, včetně přihlašovacích údajů a uživatelských informací z webových prohlížečů, e-mailových klientů, služeb VPN a aplikací pro zasílání zpráv. Zaměřuje se také na správce hesel, aplikace kryptoměnových peněženek a široce používané nástroje pro přenos souborů, jako jsou FileZilla a WinSCP, čímž útočníkům poskytuje hluboký přístup k osobním i organizačním datům.
Závěr: E-mail je stále nejslabším článkem
Kombinace PureRAT a PureLogs nabízí kyberzločincům rozsáhlé možnosti pro špehování, shromažďování a kontrolu napadených systémů. Pokračující používání phishingových e-mailů se škodlivými přílohami nebo odkazy je i nadále primárním vstupním bodem, což zdůrazňuje kritickou potřebu robustního filtrování e-mailů a povědomí uživatelů v rámci kybernetické obrany organizací.
