قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار PureRAT

بدافزار PureRAT

تا Mezo در بدافزار, ابزارهای مدیریت از راه دور
ترجمه به:

محققان امنیت سایبری یک کمپین فیشینگ بزرگ را کشف کرده‌اند که سازمان‌های روسی را هدف قرار داده و یک بدافزار درب پشتی به نام PureRAT را ارائه می‌دهد. اگرچه این کمپین در مارس 2023 آغاز شد، اما در اوایل سال 2025 شاهد افزایش چشمگیری بود و تعداد حملات مشاهده شده در مدت مشابه در سال 2024 را چهار برابر کرد. در حالی که هیچ عامل تهدید خاصی شناسایی نشده است، روش‌ها و بدافزار مورد استفاده نشان دهنده یک عملیات بسیار هماهنگ است.

ارائه فریبنده: کالبدشکافی حمله

این حمله با یک ایمیل فیشینگ که حاوی یک فایل آرشیو .RAR یا یک لینک دانلود است، آغاز می‌شود. این فایل که با پسوندهای دوگانه گمراه‌کننده (مثلاً doc_054_[redacted].pdf.rar) پنهان شده است، وانمود می‌کند که یک فایل مایکروسافت ورد یا PDF است. به محض اینکه قربانی فایل را باز می‌کند، یک فایل اجرایی درون آن اجرا می‌شود.

این فایل اجرایی چندین اقدام مخفیانه انجام می‌دهد:

  • خود را با نام task.exe در %AppData% کپی می‌کند.
  • یک اسکریپت Task.vbs در پوشه Startup برای ماندگاری ایجاد می‌کند.
  • فایل ckcfb.exe را استخراج و اجرا می‌کند.

در عوض، ckcfb.exe با استفاده از InstallUtil.exe یک ماژول رمزگشایی‌شده را اجرا می‌کند. همچنین Spydgozoi.dll را که حاوی بار داده‌ی اصلی PureRAT است، رمزگشایی و بارگذاری می‌کند.

کنترل از راه دور: PureRAT چه کارهایی می‌تواند انجام دهد

پس از اینکه جای پای خود را محکم کرد، PureRAT یک اتصال رمزگذاری شده با یک سرور فرماندهی و کنترل (C2) برقرار می‌کند و اطلاعات سیستم را منتقل می‌کند. سپس می‌تواند ماژول‌های خراب مانند موارد زیر را دریافت و اجرا کند:

افزونهPcOption

  • حذف خودکار را اجرا می‌کند
  • فرآیندهای بدافزار را مجدداً راه‌اندازی می‌کند
  • سیستم را خاموش یا دوباره راه اندازی می کند

افزونه‌ی پنجره اعلان

  • پنجره‌های فعال را برای کلمات کلیدی حساس (مثلاً رمز عبور، بانک) رصد می‌کند
  • می‌تواند اقداماتی مانند انتقال وجه غیرمجاز را آغاز کند

افزونه‌گیر

  • آدرس‌های کیف پول ارز دیجیتال کپی شده را با آدرس‌های تحت کنترل مهاجم جایگزین می‌کند.

علاوه بر این، PureRAT موارد زیر را در اختیار مهاجمان قرار می‌دهد:

  • کی‌لاگینگ
  • کنترل از راه دور دسکتاپ
  • دسترسی به فایل‌ها، رجیستری، دوربین، میکروفون و فرآیندهای در حال اجرا

آلودگی لایه‌ای: چیزی بیش از PureRAT

فایل اجرایی اولیه همچنین StilKrip.exe، یک دانلودکننده تجاری معروف به PureCrypter که از سال ۲۰۲۲ در گردش بوده است، را استخراج می‌کند. این ابزار در ادامه یک فایل ثانویه به نام Bghwwhmlr.wav را دانلود می‌کند که یک زنجیره اجرای جدید را آغاز می‌کند. این توالی در نهایت Ttcxxewxtly.exe را اجرا می‌کند و منجر به فعال شدن Bftvbho.dll، جزء اصلی یک بدافزار دوم به نام PureLogs، می‌شود.

PureLogs به عنوان یک دزد اطلاعات قدرتمند عمل می‌کند. پس از فعال شدن، به طور مخفیانه طیف گسترده‌ای از داده‌های حساس، از جمله اعتبارنامه‌ها و اطلاعات کاربر را از مرورگرهای وب، برنامه‌های ایمیل، سرویس‌های VPN و برنامه‌های پیام‌رسان جمع‌آوری می‌کند. همچنین مدیران رمز عبور، برنامه‌های کیف پول ارزهای دیجیتال و ابزارهای انتقال فایل پرکاربرد مانند FileZilla و WinSCP را هدف قرار می‌دهد و به مهاجمان دسترسی عمیق به داده‌های شخصی و سازمانی می‌دهد.

نتیجه‌گیری: ایمیل هنوز ضعیف‌ترین حلقه است

ترکیب PureRAT و PureLogs قابلیت‌های گسترده‌ای را برای جاسوسی، جمع‌آوری و کنترل سیستم‌های آسیب‌دیده در اختیار مجرمان سایبری قرار می‌دهد. استفاده مداوم از ایمیل‌های فیشینگ با پیوست‌ها یا لینک‌های مضر همچنان نقطه ورود اصلی است و این امر نیاز حیاتی به فیلترینگ قوی ایمیل و آگاهی کاربر در دفاع از امنیت سایبری سازمانی را برجسته می‌کند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
33,436
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...