Zlonamjerni softver PureRAT
Istraživači kibernetičke sigurnosti otkrili su veliku phishing kampanju usmjerenu na ruske organizacije, koja je isporučivala backdoor zlonamjerni softver poznat kao PureRAT. Iako je kampanja započela u ožujku 2023., doživjela je dramatičan porast početkom 2025., učetverostručivši broj napada viđenih u istom razdoblju 2024. Iako nije identificiran konkretan akter prijetnje, korištene metode i zlonamjerni softver ukazuju na visoko koordiniranu operaciju.
Sadržaj
Varljiva dostava: Anatomija napada
Napad započinje phishing e-poštom koja sadrži .RAR arhivu ili poveznicu za preuzimanje. Arhiva, prikrivena zavaravajućom dvostrukom ekstenzijom (npr. doc_054_[redigirano].pdf.rar), pretvara se da je Microsoft Word ili PDF datoteka. Nakon što žrtva otvori datoteku, pokreće se izvršna datoteka unutar nje.
Ovaj izvršni program izvodi nekoliko prikrivenih radnji:
- Kopira se u %AppData% kao task.exe
- Stvara skriptu Task.vbs u mapi Startup za trajnost
- Izdvaja i pokreće ckcfb.exe
Zauzvrat, ckcfb.exe koristi InstallUtil.exe za izvršavanje dešifriranog modula. Također dešifrira i učitava Spydgozoi.dll, koji sadrži primarni PureRAT sadržaj.
Daljinski upravljač: Što PureRAT može učiniti
Nakon što se učvrsti, PureRAT uspostavlja šifriranu vezu s Command-and-Control (C2) poslužiteljem i prenosi sistemske informacije. Zatim može primati i izvršavati oštećene module, kao što su:
Dodatak za računalo
- Izvršava samobrisanje
- Ponovno pokreće procese zlonamjernog softvera
- Isključuje ili ponovno pokreće sustav
PluginWindowNotify
- Nadzire aktivne prozore za osjetljive ključne riječi (npr. lozinka, banka)
- Može pokrenuti radnje poput neovlaštenih prijenosa sredstava
PluginClipper
- Zamjenjuje kopirane adrese kripto novčanika onima koje kontroliraju napadači
Osim toga, PureRAT napadačima pruža:
- Keylogging
- Upravljanje udaljenom radnom površinom
- Pristup datotekama, registru, kameri, mikrofonu i pokrenutim procesima
Slojevita infekcija: Više od samo PureRAT-a
Početna izvršna datoteka također izdvaja StilKrip.exe, komercijalni program za preuzimanje poznat kao PureCrypter koji je u opticaju od 2022. Ovaj alat nastavlja preuzimati sekundarnu datoteku, Bghwwhmlr.wav, koja pokreće novi lanac izvršavanja. Ovaj niz u konačnici pokreće Ttcxxewxtly.exe, što dovodi do aktivacije Bftvbho.dll, ključne komponente drugog soja zlonamjernog softvera poznatog kao PureLogs.
PureLogs funkcionira kao moćan kradljivac informacija. Nakon što je aktivan, tiho prikuplja širok raspon osjetljivih podataka, uključujući vjerodajnice i korisničke podatke iz web preglednika, klijenata e-pošte, VPN usluga i aplikacija za razmjenu poruka. Također cilja upravitelje lozinki, aplikacije za kriptovalute i široko korištene alate za prijenos datoteka poput FileZille i WinSCP-a, dajući napadačima dubok pristup osobnim i organizacijskim podacima.
Zaključak: E-pošta je i dalje najslabija karika
Kombinacija PureRAT-a i PureLogs-a nudi kibernetičkim kriminalcima opsežne mogućnosti za špijuniranje, prikupljanje i kontrolu kompromitiranih sustava. Kontinuirana upotreba phishing e-poruka sa štetnim prilozima ili poveznicama i dalje je primarna ulazna točka, što naglašava kritičnu potrebu za robusnim filtriranjem e-pošte i sviješću korisnika u organizacijskoj kibernetičkoj obrani.
