PureRAT-malware
Cybersikkerhedsforskere har afsløret en større phishing-kampagne rettet mod russiske organisationer, der leverer en bagdørsmalware kendt som PureRAT. Selvom kampagnen begyndte i marts 2023, oplevede den en dramatisk stigning i begyndelsen af 2025, hvor antallet af angreb i samme periode i 2024 blev firedoblet. Selvom der ikke er identificeret nogen specifik trusselsaktør, indikerer de anvendte metoder og malware en stærkt koordineret operation.
Indholdsfortegnelse
Vildledende levering: Angrebets anatomi
Angrebet starter med en phishing-e-mail, der indeholder et .RAR-arkiv eller et downloadlink. Forklædt med vildledende dobbeltfilendelser (f.eks. doc_054_[redacted].pdf.rar) foregiver arkivet at være en Microsoft Word- eller PDF-fil. Når offeret åbner filen, startes en eksekverbar fil indeni.
Denne eksekverbare version udfører adskillige skjulte handlinger:
- Kopierer sig selv til %AppData% som task.exe
- Opretter et Task.vbs-script i startmappen for at bevare filen
- Udpakker og kører ckcfb.exe
Til gengæld bruger ckcfb.exe InstallUtil.exe til at udføre et dekrypteret modul. Den dekrypterer og indlæser også Spydgozoi.dll, som indeholder den primære PureRAT-nyttelast.
Fjernbetjening: Hvad PureRAT kan gøre
Efter at have fået fodfæste, etablerer PureRAT en krypteret forbindelse med en Command-and-Control (C2) server og videresender systeminformation. Den kan derefter modtage og udføre beskadigede moduler, såsom:
PluginPcOption
- Udfører selvsletning
- Genstarter malwareprocesser
- Slukker eller genstarter systemet
PluginVindueNotify
- Overvåger aktive vinduer for følsomme søgeord (f.eks. adgangskode, bank)
- Kan iværksætte handlinger som uautoriserede pengeoverførsler
PluginClipper
- Erstatter kopierede adresser på kryptovaluta-wallets med angriberkontrollerede adresser
Derudover giver PureRAT angribere:
- Keylogging
- Fjernbetjening af skrivebord
- Adgang til filer, registreringsdatabasen, kamera, mikrofon og kørende processer
Lagdelt infektion: Mere end blot PureRAT
Den oprindelige eksekverbare fil udtrækker også StilKrip.exe, en kommerciel downloader kendt som PureCrypter, der har været i omløb siden 2022. Dette værktøj downloader derefter en sekundær fil, Bghwwhmlr.wav, som udløser en ny udførelseskæde. Denne sekvens starter i sidste ende Ttcxxewxtly.exe, hvilket fører til aktivering af Bftvbho.dll, kernekomponenten i en anden malware-stamme kendt som PureLogs.
PureLogs fungerer som en kraftfuld informationstyver. Når den er aktiv, høster den i stilhed en bred vifte af følsomme data, herunder legitimationsoplysninger og brugeroplysninger fra webbrowsere, e-mailklienter, VPN-tjenester og beskedprogrammer. Den er også målrettet adgangskodeadministratorer, kryptovaluta-tegnebogsprogrammer og udbredte filoverførselsværktøjer som FileZilla og WinSCP, hvilket giver angribere dybdegående adgang til både personlige og organisatoriske data.
Konklusion: E-mail er stadig det svageste led
Kombinationen af PureRAT og PureLogs giver cyberkriminelle omfattende muligheder for at spionere, indsamle og kontrollere kompromitterede systemer. Den løbende brug af phishing-e-mails med skadelige vedhæftede filer eller links er fortsat det primære indgangspunkt, hvilket understreger det kritiske behov for robust e-mailfiltrering og brugerbevidsthed i organisatorisk cybersikkerhedsforsvar.
