„PureRAT“ kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė didelę sukčiavimo apsimetant kampaniją, nukreiptą prieš Rusijos organizacijas, per kurią buvo platinama kenkėjiška programa „PureRAT“. Nors kampanija prasidėjo 2023 m. kovo mėn., 2025 m. pradžioje ji smarkiai išaugo – atakų skaičius išaugo keturis kartus, palyginti su tuo pačiu 2024 m. laikotarpiu. Nors konkretus grėsmės subjektas nebuvo nustatytas, naudojami metodai ir kenkėjiška programa rodo labai koordinuotą operaciją.
Turinys
Apgaulingas pristatymas: atakos anatomija
Ataka prasideda nuo sukčiavimo el. laiško, kuriame yra .RAR archyvas arba atsisiuntimo nuoroda. Užmaskuotas klaidinančiais dvigubais plėtiniais (pvz., doc_054_[redacted].pdf.rar), archyvas apsimeta „Microsoft Word“ arba PDF failu. Kai auka atidaro failą, paleidžiamas jame esantis vykdomasis failas.
Šis vykdomasis failas atlieka kelis slaptus veiksmus:
- Nukopijuoja save į %AppData% kaip task.exe
- Sukuria „Task.vbs“ skriptą paleisties aplanke, kad jis būtų išsaugotas.
- Išskleidžia ir paleidžia ckcfb.exe failą
Savo ruožtu, ckcfb.exe toliau naudoja InstallUtil.exe, kad įvykdytų iššifruotą modulį. Jis taip pat iššifruoja ir įkelia Spydgozoi.dll, kuriame yra pagrindinė „PureRAT“ apkrova.
Nuotolinis valdymas: ką gali „PureRAT“
Įsitvirtinusi „PureRAT“ užmezga užšifruotą ryšį su „Command-and-Control“ (C2) serveriu ir perduoda sistemos informaciją. Tada ji gali gauti ir vykdyti sugadintus modulius, tokius kaip:
„PluginPcOption“
- Vykdo savęs ištrynimą
- Iš naujo paleidžia kenkėjiškų programų procesus
- Išjungia arba perkrauna sistemą
Įskiepio lango pranešimas
- Stebi aktyvius langus, ieškodamas jautrių raktinių žodžių (pvz., slaptažodžio, banko)
- Gali inicijuoti veiksmus, tokius kaip neautorizuoti lėšų pervedimai
PluginClipper
- Pakeičia nukopijuotus kriptovaliutų piniginių adresus užpuoliko kontroliuojamais
Be to, „PureRAT“ užpuolikams suteikia:
- Klaviatūros stebėjimas
- Nuotolinis darbalaukio valdymas
- Prieiga prie failų, registro, kameros, mikrofono ir veikiančių procesų
Sluoksniuota infekcija: daugiau nei vien „PureRAT“
Pradinis vykdomasis failas taip pat išskleidžia „StilKrip.exe“ – komercinę atsisiuntimo programą, žinomą kaip „PureCrypter“, kuri naudojama nuo 2022 m. Ši priemonė toliau atsisiunčia antrinį failą „Bghwwhmlr.wav“, kuris suaktyvina naują vykdymo grandinę. Ši seka galiausiai paleidžia „Ttcxxewxtly.exe“, kuris suaktyvina „Bftvbho.dll“ – pagrindinį antrosios kenkėjiškos programos atmainos, žinomos kaip „PureLogs“, komponentą.
„PureLogs“ veikia kaip galinga informacijos vagis. Kai tik ji tampa aktyvi, ji tyliai renka daugybę neskelbtinų duomenų, įskaitant prisijungimo duomenis ir naudotojo informaciją iš interneto naršyklių, el. pašto klientų, VPN paslaugų ir pranešimų siuntimo programų. Ji taip pat taikosi į slaptažodžių tvarkykles, kriptovaliutų piniginių programas ir plačiai naudojamas failų perkėlimo priemones, tokias kaip „FileZilla“ ir „WinSCP“, suteikdama užpuolikams didelę prieigą prie asmeninių ir organizacijos duomenų.
Išvada: el. paštas vis dar yra silpniausia grandis
„PureRAT“ ir „PureLogs“ derinys suteikia kibernetiniams nusikaltėliams plačias galimybes šnipinėti, rinkti ir kontroliuoti pažeistas sistemas. Nuolatinis sukčiavimo el. laiškų su kenksmingais priedais ar nuorodomis naudojimas tebėra pagrindinis patekimo taškas, pabrėžiantis kritinį patikimo el. pašto filtravimo ir vartotojų informuotumo poreikį organizacijų kibernetinės apsaugos sistemose.
