PureRAT मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने रूसी संगठनों को लक्षित करने वाले एक बड़े फ़िशिंग अभियान का खुलासा किया है, जो PureRAT नामक एक बैकडोर मैलवेयर वितरित करता है। हालाँकि यह अभियान मार्च 2023 में शुरू हुआ था, लेकिन 2025 की शुरुआत में इसमें नाटकीय उछाल आया, जो 2024 में इसी अवधि के दौरान देखे गए हमलों की संख्या को चौगुना कर देता है। हालाँकि किसी विशिष्ट ख़तरा अभिनेता की पहचान नहीं की गई है, लेकिन इस्तेमाल किए गए तरीके और मैलवेयर एक अत्यधिक समन्वित ऑपरेशन का संकेत देते हैं।

भ्रामक डिलीवरी: हमले की संरचना

यह हमला एक फ़िशिंग ईमेल से शुरू होता है जिसमें .RAR आर्काइव या डाउनलोड लिंक होता है। भ्रामक डबल एक्सटेंशन (जैसे, doc_054_[redacted].pdf.rar) के साथ छिपा हुआ, आर्काइव Microsoft Word या PDF फ़ाइल होने का दिखावा करता है। एक बार जब पीड़ित फ़ाइल खोलता है, तो अंदर एक निष्पादन योग्य लॉन्च होता है।

यह निष्पादनयोग्य कई गुप्त क्रियाएं करता है:

• स्वयं को task.exe के रूप में %AppData% में कॉपी करता है
• दृढ़ता के लिए स्टार्टअप फ़ोल्डर में Task.vbs स्क्रिप्ट बनाता है
• ckcfb.exe को निकालता है और चलाता है

बदले में, ckcfb.exe एक डिक्रिप्टेड मॉड्यूल को निष्पादित करने के लिए InstallUtil.exe का उपयोग करता है। यह Spydgozoi.dll को भी डिक्रिप्ट और लोड करता है, जिसमें प्राथमिक PureRAT पेलोड होता है।

रिमोट कंट्रोल: PureRAT क्या कर सकता है

पैर जमाने के बाद, PureRAT कमांड-एंड-कंट्रोल (C2) सर्वर के साथ एन्क्रिप्टेड कनेक्शन स्थापित करता है और सिस्टम की जानकारी रिले करता है। इसके बाद यह भ्रष्ट मॉड्यूल प्राप्त कर सकता है और उन्हें निष्पादित कर सकता है, जैसे:

प्लगइनपीसीऑप्शन

• स्व-विलोपन क्रियान्वित करता है
• मैलवेयर प्रक्रियाओं को पुनः आरंभ करता है
• सिस्टम को बंद या रीबूट करता है

प्लगइनविंडोनोटिफाई

• संवेदनशील कीवर्ड (जैसे, पासवर्ड, बैंक) के लिए सक्रिय विंडो की निगरानी करता है
• अनधिकृत निधि हस्तांतरण जैसी कार्रवाइयां शुरू कर सकते हैं

प्लगइनक्लिपर

• कॉपी किए गए क्रिप्टोकरेंसी वॉलेट पते को हमलावर द्वारा नियंत्रित पते से बदल देता है

इसके अतिरिक्त, PureRAT हमलावरों को निम्नलिखित सुविधाएँ प्रदान करता है:

• कीलॉगिंग
• रिमोट डेस्कटॉप नियंत्रण
• फ़ाइलों, रजिस्ट्री, कैमरा, माइक्रोफ़ोन और चल रही प्रक्रियाओं तक पहुंच

स्तरित संक्रमण: केवल PureRAT से अधिक

प्रारंभिक निष्पादन योग्य StilKrip.exe को भी निकालता है, जो PureCrypter के नाम से जाना जाने वाला एक वाणिज्यिक डाउनलोडर है जो 2022 से प्रचलन में है। यह उपकरण एक द्वितीयक फ़ाइल, Bghwwhmlr.wav को डाउनलोड करने के लिए आगे बढ़ता है, जो एक नई निष्पादन श्रृंखला को ट्रिगर करता है। यह क्रम अंततः Ttcxxewxtly.exe लॉन्च करता है, जिससे Bftvbho.dll सक्रिय हो जाता है, जो PureLogs नामक दूसरे मैलवेयर स्ट्रेन का मुख्य घटक है।

PureLogs एक शक्तिशाली सूचना चोर के रूप में कार्य करता है। एक बार सक्रिय होने के बाद, यह चुपचाप वेब ब्राउज़र, ईमेल क्लाइंट, VPN सेवाओं और मैसेजिंग एप्लिकेशन से क्रेडेंशियल और उपयोगकर्ता जानकारी सहित संवेदनशील डेटा की एक विस्तृत श्रृंखला को इकट्ठा करता है। यह पासवर्ड मैनेजर, क्रिप्टोक्यूरेंसी वॉलेट एप्लिकेशन और व्यापक रूप से उपयोग किए जाने वाले फ़ाइल ट्रांसफ़र टूल जैसे कि FileZilla और WinSCP को भी निशाना बनाता है, जिससे हमलावरों को व्यक्तिगत और संगठनात्मक डेटा दोनों तक गहरी पहुँच मिलती है।

निष्कर्ष: ईमेल अभी भी सबसे कमज़ोर कड़ी

PureRAT और PureLogs का संयोजन साइबर अपराधियों को समझौता किए गए सिस्टम की जासूसी करने, उन्हें इकट्ठा करने और नियंत्रित करने की व्यापक क्षमता प्रदान करता है। हानिकारक अनुलग्नकों या लिंक के साथ फ़िशिंग ईमेल का चल रहा उपयोग प्राथमिक प्रवेश बिंदु बना हुआ है, जो संगठनात्मक साइबर सुरक्षा बचाव में मज़बूत ईमेल फ़िल्टरिंग और उपयोगकर्ता जागरूकता की महत्वपूर्ण आवश्यकता को रेखांकित करता है।