PureRAT-haittaohjelma

Kyberturvallisuustutkijat ovat paljastaneet laajan venäläisiin organisaatioihin kohdistuneen tietojenkalastelukampanjan, joka levitti PureRAT-nimistä takaporttihaittaohjelmaa. Vaikka kampanja alkoi maaliskuussa 2023, se koki dramaattisen nousun vuoden 2025 alussa ja nelinkertaisti vuoden 2024 vastaavana ajanjaksona havaittujen hyökkäysten määrän. Vaikka tiettyä uhkatoimijaa ei ole tunnistettu, käytetyt menetelmät ja haittaohjelmat viittaavat erittäin koordinoituun operaatioon.

Petollinen toimitus: Hyökkäyksen anatomia

Hyökkäys alkaa tietojenkalasteluviestillä, joka sisältää .RAR-tiedoston tai latauslinkin. Harhaanjohtavilla kaksoistiedostopäätteillä (esim. doc_054_[redacted].pdf.rar) naamioitu arkisto teeskentelee olevansa Microsoft Word- tai PDF-tiedosto. Kun uhri avaa tiedoston, sen sisältä käynnistyy suoritettava tiedosto.

Tämä suoritettava tiedosto suorittaa useita salamyhkäisiä toimintoja:

• Kopioi itsensä %AppData% -kansioon nimellä task.exe
• Luo Task.vbs-komentosarjan Käynnistys-kansioon säilyvyyden takaamiseksi.
• Purkaa ja suorittaa ckcfb.exe-tiedoston

Ckcfb.exe puolestaan käyttää InstallUtil.exe-ohjelmaa purkaakseen salauksen saaneen moduulin. Se myös purkaa ja lataa Spydgozoi.dll-tiedoston, joka sisältää ensisijaisen PureRAT-hyötykuorman.

Kaukosäädin: Mitä PureRAT voi tehdä

Saatuaan jalansijaa PureRAT muodostaa salatun yhteyden Command-and-Control (C2) -palvelimeen ja välittää järjestelmätietoja. Sen jälkeen se voi vastaanottaa ja suorittaa vioittuneita moduuleja, kuten:

PluginPcOption

• Suorittaa itsepoiston
• Käynnistää haittaohjelmaprosessit uudelleen
• Sammuttaa tai käynnistää järjestelmän uudelleen

PluginWindowNotify

• Tarkkailee aktiivisia ikkunoita arkaluonteisten avainsanojen (esim. salasana, pankki) varalta
• Voi käynnistää toimia, kuten luvattomia varojensiirtoja

PluginClipper

• Korvaa kopioidut kryptovaluuttojen lompakoiden osoitteet hyökkääjän hallitsemilla osoitteilla

Lisäksi PureRAT tarjoaa hyökkääjille:

• Näppäinpainallusten tallentaminen
• Etätyöpöydän hallinta
• Pääsy tiedostoihin, rekisteriin, kameraan, mikrofoniin ja käynnissä oleviin prosesseihin

Kerrostettu infektio: Enemmän kuin vain PureRAT

Alkuperäinen suoritettava tiedosto purkaa myös StilKrip.exe-tiedoston, kaupallisen PureCrypter-nimisen latausohjelman, joka on ollut käytössä vuodesta 2022. Tämä työkalu lataa toissijaisen tiedoston, Bghwwhmlr.wav, joka käynnistää uuden suoritusketjun. Tämä sarja käynnistää lopulta Ttcxxewxtly.exe-tiedoston, mikä johtaa Bftvbho.dll-tiedoston aktivoitumiseen. Bftvbho.dll on toisen PureLogs-haittaohjelmatyypin ydinosa.

PureLogs toimii tehokkaana tiedonvarastajana. Aktivoituaan se kerää huomaamattomasti laajan valikoiman arkaluonteisia tietoja, kuten tunnistetietoja ja käyttäjätietoja verkkoselaimista, sähköpostiohjelmista, VPN-palveluista ja viestisovelluksista. Se kohdistaa hyökkäyksiä myös salasananhallintaan, kryptovaluuttalompakkosovelluksiin ja laajalti käytettyihin tiedostonsiirtotyökaluihin, kuten FileZillaan ja WinSCP:hen, antaen hyökkääjille syvällisen pääsyn sekä henkilökohtaisiin että organisaatiotietoihin.

Johtopäätös: Sähköposti on edelleen heikoin lenkki

PureRATin ja PureLogin yhdistelmä tarjoaa kyberrikollisille laajat mahdollisuudet vakoilla, kerätä ja hallita vaarantuneita järjestelmiä. Haitallisia liitteitä tai linkkejä sisältävät tietojenkalasteluviestit ovat edelleen ensisijainen väylä tietokalasteluhyökkäyksiin, mikä korostaa vankan sähköpostisuodatuksen ja käyttäjätietoisuuden kriittistä tarvetta organisaatioiden kyberturvallisuuspuolustuksessa.