הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית PureRAT

תוכנה זדונית PureRAT

עד Mezo ב-תוכנה זדונית, כלי ניהול מרחוק
לתרגם ל:

חוקרי אבטחת סייבר חשפו קמפיין פישינג גדול שכוון נגד ארגונים רוסיים, והעביר תוכנה זדונית אחורית המכונה PureRAT. למרות שהקמפיין החל במרץ 2023, הוא ראה עלייה דרמטית בתחילת 2025, והכפיל פי ארבעה את מספר ההתקפות שנצפו באותה תקופה בשנת 2024. למרות שלא זוהה גורם איום ספציפי, השיטות והתוכנות הזדוניות בהן נעשה שימוש מצביעות על פעולה מתואמת מאוד.

מסירה מטעה: האנטומיה של ההתקפה

ההתקפה מתחילה עם דוא"ל פישינג המכיל ארכיון .RAR או קישור להורדה. הארכיון, מוסווה על ידי סיומות כפולות מטעות (למשל, doc_054_[redacted].pdf.rar), מתחזה לקובץ Microsoft Word או PDF. לאחר שהקורבן פותח את הקובץ, מופעל קובץ הרצה שבתוכו.

הפעלה זו מבצעת מספר פעולות חשאיות:

  • מעתיק את עצמו ל-%AppData% כ-task.exe
  • יוצר סקריפט Task.vbs בתיקיית ההפעלה לצורך שמירה על תפקודו
  • מחלץ ומפעיל את ckcfb.exe

בתורו, ckcfb.exe ממשיך להשתמש ב-InstallUtil.exe כדי להפעיל מודול מפוענח. הוא גם מפענח וטוען את Spydgozoi.dll, המכיל את המטען העיקרי של PureRAT.

שלט רחוק: מה PureRAT יכול לעשות

לאחר שתשיג דריסת רגל, PureRAT יוצר חיבור מוצפן עם שרת פיקוד ובקרה (C2) ומעביר מידע מערכתי. לאחר מכן הוא יכול לקבל ולהפעיל מודולים פגומים, כגון:

אפשרות למחשב תוסף

  • מבצע מחיקה עצמית
  • מפעיל מחדש תהליכים של תוכנות זדוניות
  • מכבה או מפעיל מחדש את המערכת

חלון תוסףהודעה

  • ניטור חלונות פעילים לאיתור מילות מפתח רגישות (למשל, סיסמה, בנק)
  • יכול ליזום פעולות כמו העברות כספים לא מורשות

תוסף קליפר

  • מחליף כתובות ארנקי מטבעות קריפטוגרפיים שהועתקו בכתובות הנשלטות על ידי תוקף

בנוסף, PureRAT מספק לתוקפים:

  • רישום מפתחות
  • שליטה בשולחן עבודה מרוחק
  • גישה לקבצים, לרישום, למצלמה, למיקרופון ולתהליכים הפועלים

זיהום שכבתי: יותר מסתם PureRAT

קובץ ההפעלה הראשוני מחלץ גם את StilKrip.exe, תוכנת הורדה מסחרית המכונה PureCrypter שנמצאת במחזור מאז 2022. כלי זה ממשיך להוריד קובץ משני, Bghwwhmlr.wav, אשר מפעיל שרשרת ביצוע חדשה. רצף זה מפעיל בסופו של דבר את Ttcxxewxtly.exe, מה שמוביל להפעלת Bftvbho.dll, הרכיב המרכזי של זן תוכנה זדונית שני המכונה PureLogs.

PureLogs מתפקד כגנב מידע רב עוצמה. לאחר פעילותו, הוא אוסף בשקט מגוון רחב של נתונים רגישים, כולל אישורים ומידע על משתמשים מדפדפני אינטרנט, לקוחות דוא"ל, שירותי VPN ויישומי העברת הודעות. הוא גם מכוון למנהלי סיסמאות, יישומי ארנקי מטבעות קריפטוגרפיים וכלי העברת קבצים נפוצים כמו FileZilla ו-WinSCP, ומעניק לתוקפים גישה עמוקה לנתונים אישיים וארגוניים כאחד.

סיכום: דוא”ל עדיין החוליה החלשה

השילוב של PureRAT ו-PureLogs מציע לפושעי סייבר יכולות נרחבות לרגל, לאסוף ולשלוט במערכות פרוצות. השימוש המתמשך בהודעות דוא"ל פישינג עם קבצים מצורפים או קישורים מזיקים ממשיך להיות נקודת הכניסה העיקרית, ומדגיש את הצורך הקריטי בסינון דוא"ל חזק ובמודעות משתמשים בהגנות סייבר ארגוניות.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
33,436
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...