Malware PureRAT

I ricercatori di sicurezza informatica hanno scoperto una massiccia campagna di phishing rivolta a organizzazioni russe, che ha diffuso un malware backdoor noto come PureRAT. Sebbene la campagna sia iniziata a marzo 2023, ha registrato un'impennata vertiginosa all'inizio del 2025, quadruplicando il numero di attacchi registrati nello stesso periodo del 2024. Sebbene non sia stato identificato alcun attore specifico della minaccia, i metodi e il malware utilizzati indicano un'operazione altamente coordinata.

Consegna ingannevole: l’anatomia dell’attacco

L'attacco inizia con un'email di phishing contenente un archivio .RAR o un link per il download. Camuffato con doppie estensioni ingannevoli (ad esempio, doc_054_[redatto].pdf.rar), l'archivio si spaccia per un file Microsoft Word o PDF. Una volta aperto il file, viene avviato un file eseguibile al suo interno.

Questo eseguibile esegue diverse azioni furtive:

• Si copia in %AppData% come task.exe
• Crea uno script Task.vbs nella cartella di avvio per la persistenza
• Estrae ed esegue ckcfb.exe

A sua volta, ckcfb.exe utilizza InstallUtil.exe per eseguire un modulo decrittografato. Inoltre, decrittografa e carica Spydgozoi.dll, che contiene il payload principale di PureRAT.

Controllo remoto: cosa può fare PureRAT

Dopo aver preso piede, PureRAT stabilisce una connessione crittografata con un server di comando e controllo (C2) e inoltra informazioni di sistema. Può quindi ricevere ed eseguire moduli corrotti, come:

PluginPcOption

• Esegue l'auto-eliminazione
• Riavvia i processi malware
• Spegne o riavvia il sistema

PluginWindowNotify

• Monitora le finestre attive per parole chiave sensibili (ad esempio, password, banca)
• Può avviare azioni come trasferimenti di fondi non autorizzati

PluginClipper

• Sostituisce gli indirizzi dei portafogli di criptovaluta copiati con quelli controllati dall'aggressore

Inoltre, PureRAT fornisce agli aggressori:

• Keylogging
• Controllo remoto del desktop
• Accesso ai file, al registro, alla fotocamera, al microfono e ai processi in esecuzione

Infezione a strati: più di una semplice infezione da ratto puro

L'eseguibile iniziale estrae anche StilKrip.exe, un downloader commerciale noto come PureCrypter, in circolazione dal 2022. Questo strumento scarica un file secondario, Bghwwhmlr.wav, che innesca una nuova catena di esecuzione. Questa sequenza avvia infine Ttcxxewxtly.exe, che porta all'attivazione di Bftvbho.dll, il componente principale di un secondo ceppo di malware noto come PureLogs.

PureLogs funziona come un potente ladro di informazioni. Una volta attivo, raccoglie silenziosamente un'ampia gamma di dati sensibili, tra cui credenziali e informazioni utente da browser web, client di posta elettronica, servizi VPN e applicazioni di messaggistica. Prende di mira anche gestori di password, applicazioni di wallet per criptovalute e strumenti di trasferimento file ampiamente utilizzati come FileZilla e WinSCP, consentendo agli aggressori di accedere a dati personali e aziendali.

Conclusione: la posta elettronica è ancora l’anello debole

La combinazione di PureRAT e PureLogs offre ai criminali informatici ampie capacità di spiare, raccogliere e controllare i sistemi compromessi. L'uso continuo di email di phishing con allegati o link dannosi continua a essere il principale punto di accesso, il che sottolinea la necessità critica di un solido filtro delle email e di una maggiore consapevolezza degli utenti nelle difese di sicurezza informatica delle organizzazioni.