Κακόβουλο λογισμικό PureRAT
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια σημαντική εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) που στόχευε ρωσικούς οργανισμούς, η οποία παρείχε ένα κακόβουλο λογισμικό backdoor γνωστό ως PureRAT. Αν και η εκστρατεία ξεκίνησε τον Μάρτιο του 2023, σημείωσε δραματική αύξηση στις αρχές του 2025, τετραπλασιάζοντας τον αριθμό των επιθέσεων που παρατηρήθηκαν κατά την ίδια περίοδο το 2024. Ενώ δεν έχει εντοπιστεί συγκεκριμένος φορέας απειλής, οι μέθοδοι και το κακόβουλο λογισμικό που χρησιμοποιήθηκαν υποδηλώνουν μια εξαιρετικά συντονισμένη επιχείρηση.
Πίνακας περιεχομένων
Παραπλανητική Παράδοση: Η Ανατομία της Επίθεσης
Η επίθεση ξεκινά με ένα email ηλεκτρονικού "ψαρέματος" (phishing) που περιέχει ένα αρχείο .RAR ή έναν σύνδεσμο λήψης. Μεταμφιεσμένο με παραπλανητικές διπλές επεκτάσεις (π.χ., doc_054_[redacted].pdf.rar), το αρχείο προσποιείται ότι είναι ένα αρχείο Microsoft Word ή PDF. Μόλις το θύμα ανοίξει το αρχείο, εκκινείται ένα εκτελέσιμο αρχείο που βρίσκεται μέσα.
Αυτό το εκτελέσιμο αρχείο εκτελεί αρκετές κρυφές ενέργειες:
- Αντιγράφει τον εαυτό του στο %AppData% ως task.exe
- Δημιουργεί ένα σενάριο Task.vbs στον φάκελο Startup για διατήρηση
- Εξάγει και εκτελεί το ckcfb.exe
Με τη σειρά του, το ckcfb.exe χρησιμοποιεί το InstallUtil.exe για να εκτελέσει μια αποκρυπτογραφημένη ενότητα. Επίσης, αποκρυπτογραφεί και φορτώνει το Spydgozoi.dll, το οποίο περιέχει το κύριο ωφέλιμο φορτίο PureRAT.
Τηλεχειριστήριο: Τι μπορεί να κάνει το PureRAT
Αφού αποκτήσει πρόσβαση, το PureRAT δημιουργεί μια κρυπτογραφημένη σύνδεση με έναν διακομιστή Command-and-Control (C2) και αναμεταδίδει πληροφορίες συστήματος. Στη συνέχεια, μπορεί να λαμβάνει και να εκτελεί κατεστραμμένες ενότητες, όπως:
ΠρόσθετοPcOption
- Εκτελεί αυτοδιαγραφή
- Επανεκκινεί τις διεργασίες κακόβουλου λογισμικού
- Τερματίζει ή επανεκκινεί το σύστημα
PluginWindowNotify
- Παρακολουθεί τα ενεργά παράθυρα για ευαίσθητες λέξεις-κλειδιά (π.χ., κωδικός πρόσβασης, τράπεζα)
- Μπορεί να ξεκινήσει ενέργειες όπως μη εξουσιοδοτημένες μεταφορές χρημάτων
PluginClipper
- Αντικαθιστά τις αντιγραμμένες διευθύνσεις πορτοφολιών κρυπτονομισμάτων με διευθύνσεις που ελέγχονται από εισβολείς
Επιπλέον, το PureRAT παρέχει στους εισβολείς:
- Καταγραφή πλήκτρων
- Απομακρυσμένος έλεγχος επιφάνειας εργασίας
- Πρόσβαση σε αρχεία, το μητρώο, την κάμερα, το μικρόφωνο και τις διεργασίες που εκτελούνται
Πολυεπίπεδη Μόλυνση: Κάτι περισσότερο από το PureRAT
Το αρχικό εκτελέσιμο αρχείο εξάγει επίσης το StilKrip.exe, ένα εμπορικό πρόγραμμα λήψης γνωστό ως PureCrypter που κυκλοφορεί από το 2022. Αυτό το εργαλείο προχωρά στη λήψη ενός δευτερεύοντος αρχείου, του Bghwwhmlr.wav, το οποίο ενεργοποιεί μια νέα αλυσίδα εκτέλεσης. Αυτή η ακολουθία τελικά εκκινεί το Ttcxxewxtly.exe, οδηγώντας στην ενεργοποίηση του Bftvbho.dll, του βασικού στοιχείου ενός δεύτερου στελέχους κακόβουλου λογισμικού γνωστού ως PureLogs.
Το PureLogs λειτουργεί ως ένα ισχυρό εργαλείο κλοπής πληροφοριών. Μόλις ενεργοποιηθεί, συλλέγει σιωπηλά ένα ευρύ φάσμα ευαίσθητων δεδομένων, συμπεριλαμβανομένων διαπιστευτηρίων και πληροφοριών χρήστη από προγράμματα περιήγησης ιστού, προγράμματα-πελάτες email, υπηρεσίες VPN και εφαρμογές ανταλλαγής μηνυμάτων. Στοχεύει επίσης σε διαχειριστές κωδικών πρόσβασης, εφαρμογές πορτοφολιών κρυπτονομισμάτων και ευρέως χρησιμοποιούμενα εργαλεία μεταφοράς αρχείων όπως το FileZilla και το WinSCP, δίνοντας στους εισβολείς βαθιά πρόσβαση τόσο σε προσωπικά όσο και σε εταιρικά δεδομένα.
Συμπέρασμα: Το ηλεκτρονικό ταχυδρομείο εξακολουθεί να είναι ο πιο αδύναμος κρίκος
Ο συνδυασμός των PureRAT και PureLogs προσφέρει στους κυβερνοεγκληματίες εκτεταμένες δυνατότητες κατασκοπείας, συλλογής και ελέγχου παραβιασμένων συστημάτων. Η συνεχής χρήση email ηλεκτρονικού "ψαρέματος" (phishing) με επιβλαβή συνημμένα ή συνδέσμους εξακολουθεί να αποτελεί το κύριο σημείο εισόδου, υπογραμμίζοντας την κρίσιμη ανάγκη για ισχυρό φιλτράρισμα email και επίγνωση των χρηστών στις οργανωτικές άμυνες κυβερνοασφάλειας.
