PureRAT kártevő

Kiberbiztonsági kutatók lelepleztek egy orosz szervezeteket célzó nagyszabású adathalász kampányt, amely egy PureRAT néven ismert hátsó ajtós kártevőt juttatott el a felhasználókhoz. Bár a kampány 2023 márciusában kezdődött, 2025 elején drámai mértékben megnőtt, megnégyszerezve a 2024-es év azonos időszakában tapasztalt támadások számát. Bár konkrét fenyegetést nem azonosítottak, a használt módszerek és kártevők egy szorosan összehangolt műveletre utalnak.

Megtévesztő kézbesítés: A támadás anatómiája

A támadás egy adathalász e-maillel indul, amely egy .RAR archívumot vagy letöltési linket tartalmaz. Megtévesztő dupla kiterjesztéssel (pl. doc_054_[szerkesztve].pdf.rar) álcázva az archívum Microsoft Word vagy PDF fájlnak adja ki magát. Amint az áldozat megnyitja a fájlt, elindul egy futtatható fájl.

Ez a futtatható fájl számos titkos műveletet hajt végre:

• Task.exe néven másolja magát a %AppData% mappába
• Létrehoz egy Task.vbs szkriptet az Indítópult mappában a megőrzés érdekében.
• Kinyeri és lefuttatja a ckcfb.exe fájlt

A ckcfb.exe ezután az InstallUtil.exe segítségével végrehajtja a visszafejtett modult. Emellett visszafejti és betölti a Spydgozoi.dll fájlt is, amely az elsődleges PureRAT hasznos adatot tartalmazza.

Távirányító: Mit tud a PureRAT?

Miután megvetette a lábát a rendszerben, a PureRAT titkosított kapcsolatot létesít egy Command-and-Control (C2) szerverrel, és továbbítja a rendszerinformációkat. Ezután képes fogadni és végrehajtani a sérült modulokat, például:

PluginPcOption

• Öntörlést hajt végre
• Újraindítja a rosszindulatú folyamatokat
• Leállítja vagy újraindítja a rendszert

PluginWindowNotify

• Figyelemmel kíséri az aktív ablakokat érzékeny kulcsszavak (pl. jelszó, bank) után kutatva
• Olyan műveleteket indíthat, mint a jogosulatlan pénzátutalások

PluginClipper

• A másolt kriptovaluta-tárcacímeket támadók által ellenőrzött címekre cseréli

Ezenkívül a PureRAT a támadók számára a következőket biztosítja:

• Billentyűzetnaplózás
• Távoli asztali vezérlés
• Hozzáférés a fájlokhoz, a beállításjegyzékhez, a kamerához, a mikrofonhoz és a futó folyamatokhoz

Réteges fertőzés: Több, mint PureRAT

Az eredeti futtatható fájl kinyeri a StilKrip.exe fájlt is, amely egy PureCrypter néven ismert kereskedelmi letöltőprogram, és 2022 óta van forgalomban. Ez az eszköz letölt egy másodlagos fájlt, a Bghwwhmlr.wav-ot, ami egy új végrehajtási láncot indít el. Ez a sorozat végül elindítja a Ttcxxewxtly.exe fájlt, ami a Bftvbho.dll aktiválásához vezet, amely egy második rosszindulatú programtörzs, a PureLogs központi összetevője.

A PureLogs hatékony információlopóként működik. Aktiválás után csendben gyűjt be számos érzékeny adatot, beleértve a hitelesítő adatokat és a felhasználói információkat webböngészőkből, e-mail kliensekből, VPN-szolgáltatásokból és üzenetküldő alkalmazásokból. Emellett jelszókezelőket, kriptovaluta-tárcaalkalmazásokat és széles körben használt fájlátviteli eszközöket, például a FileZillát és a WinSCP-t is célba veszi, mélyreható hozzáférést biztosítva a támadóknak mind a személyes, mind a szervezeti adatokhoz.

Konklúzió: Az e-mail továbbra is a leggyengébb láncszem

A PureRAT és a PureLogs kombinációja széleskörű lehetőségeket kínál a kiberbűnözőknek a feltört rendszerek kémkedésére, gyűjtésére és ellenőrzésére. A káros mellékleteket vagy linkeket tartalmazó adathalász e-mailek folyamatos használata továbbra is az elsődleges belépési pont, ami aláhúzza a hatékony e-mail-szűrés és a felhasználói tudatosság kritikus szükségességét a szervezetek kiberbiztonsági védelmében.