PureRATi pahavara
Küberturvalisuse uurijad on paljastanud ulatusliku Venemaa organisatsioonidele suunatud andmepüügikampaania, mis levitas PureRAT-nimelist tagaukse pahavara. Kuigi kampaania algas 2023. aasta märtsis, koges see 2025. aasta alguses dramaatilist tõusu, neljakordistades 2024. aasta samal perioodil täheldatud rünnakute arvu. Kuigi konkreetset ohu tekitajat pole tuvastatud, viitavad kasutatud meetodid ja pahavara väga koordineeritud operatsioonile.
Sisukord
Petlik kohaletoimetamine: rünnaku anatoomia
Rünnak algab õngitsuskirjaga, mis sisaldab .RAR-arhiivi või allalaadimislinki. Eksitavate topeltlaienditega (nt doc_054_[redacted].pdf.rar) maskeeritud arhiiv teeskleb olevat Microsoft Wordi või PDF-fail. Kui ohver faili avab, käivitatakse sees olev käivitatav fail.
See käivitatav fail sooritab mitmeid salajasi toiminguid:
- Kopeerib end %AppData% kausta nimega task.exe
- Loob käivituskausta püsivuse tagamiseks skripti Task.vbs.
- Ekstraktib ja käivitab ckcfb.exe faili
Seejärel omakorda kasutab ckcfb.exe dekrüpteeritud mooduli käivitamiseks InstallUtil.exe faili. Samuti dekrüpteerib ja laadib see Spydgozoi.dll faili, mis sisaldab peamist PureRAT-i kasulikku koormust.
Kaugjuhtimispult: mida PureRAT teha saab
Pärast jalgealuse saavutamist loob PureRAT krüpteeritud ühenduse Command-and-Control (C2) serveriga ja edastab süsteemiteavet. Seejärel saab see vastu võtta ja käivitada rikutud mooduleid, näiteks:
PluginPcOption
- Teostab enesekustutuse
- Taaskäivitab pahavara protsessid
- Lülitab süsteemi välja või taaskäivitab selle
PluginWindowNotify
- Jälgib aktiivseid aknaid tundlike märksõnade (nt parool, pank) suhtes
- Võib algatada toiminguid, näiteks volitamata rahaülekandeid
PluginClipper
- Asendab kopeeritud krüptovaluuta rahakoti aadressid ründaja kontrollitud aadressidega
Lisaks pakub PureRAT ründajatele järgmist:
- Klahvilogimine
- Kaugtöölaua juhtimine
- Juurdepääs failidele, registrile, kaamerale, mikrofonile ja töötavatele protsessidele
Kihiline infektsioon: enamat kui lihtsalt PureRAT
Esialgne käivitatav fail ekstraheerib ka StilKrip.exe, mis on kommertslik allalaadija PureCrypter, mis on olnud käibel alates 2022. aastast. See tööriist laadib alla teisese faili Bghwwhmlr.wav, mis käivitab uue täitmisahela. See jada käivitab lõpuks Ttcxxewxtly.exe, mis viib Bftvbho.dll aktiveerimiseni, mis on teise pahavara tüve PureLogs põhikomponent.
PureLogs toimib võimsa infovarastajana. Kui see on aktiivne, kogub see vaikselt laia valikut tundlikke andmeid, sealhulgas volitusi ja kasutajateavet veebibrauseritest, e-posti klientidest, VPN-teenustest ja sõnumsiderakendustest. See sihib ka paroolihaldureid, krüptovaluuta rahakotirakendusi ja laialdaselt kasutatavaid failiedastustööriistu, nagu FileZilla ja WinSCP, andes ründajatele sügava juurdepääsu nii isiku- kui ka organisatsiooniandmetele.
Kokkuvõte: e-post on endiselt nõrgim lüli
PureRATi ja PureLogi kombinatsioon pakub küberkurjategijatele ulatuslikke võimalusi ohustatud süsteemide nuhkimiseks, kogumiseks ja kontrollimiseks. Kahjulike manuste või linkidega andmepüügikirjade pidev kasutamine on jätkuvalt peamine sisenemispunkt, mis rõhutab tugeva e-posti filtreerimise ja kasutajate teadlikkuse kriitilist vajadust organisatsioonide küberkaitses.
