Perisian Hasad PureRAT
Penyelidik keselamatan siber telah menemui kempen pancingan data utama yang menyasarkan organisasi Rusia, menyampaikan perisian hasad pintu belakang yang dikenali sebagai PureRAT. Walaupun kempen itu bermula pada Mac 2023, ia menyaksikan lonjakan dramatik pada awal 2025, meningkatkan empat kali ganda bilangan serangan yang dilihat dalam tempoh yang sama pada 2024. Walaupun tiada pelaku ancaman khusus telah dikenal pasti, kaedah dan perisian hasad yang digunakan menunjukkan operasi yang sangat terkoordinasi.
Isi kandungan
Penyampaian yang Menipu: Anatomi Serangan
Serangan dimulakan dengan e-mel pancingan data yang mengandungi arkib .RAR atau pautan muat turun. Menyamar dengan sambungan berganda yang mengelirukan (cth, doc_054_[redacted].pdf.rar), arkib itu berpura-pura sebagai fail Microsoft Word atau PDF. Sebaik sahaja mangsa membuka fail, bahagian dalam boleh laku dilancarkan.
Boleh laku ini melakukan beberapa tindakan tersembunyi:
- Menyalin dirinya ke %AppData% sebagai task.exe
- Mencipta skrip Task.vbs dalam folder Permulaan untuk kegigihan
- Mengekstrak dan menjalankan ckcfb.exe
Sebaliknya, ckcfb.exe terus menggunakan InstallUtil.exe untuk melaksanakan modul yang dinyahsulit. Ia juga menyahsulit dan memuatkan Spydgozoi.dll, yang mengandungi muatan PureRAT utama.
Kawalan Jauh: Perkara yang boleh dilakukan oleh PureRAT
Selepas bertapak, PureRAT mewujudkan sambungan yang disulitkan dengan pelayan Perintah-dan-Kawalan (C2) dan menyampaikan maklumat sistem. Ia kemudiannya boleh menerima dan melaksanakan modul yang rosak, seperti:
PluginPcOption
- Melaksanakan pemadaman sendiri
- Memulakan semula proses perisian hasad
- Matikan atau but semula sistem
PluginWindowNotify
- Memantau tetingkap aktif untuk kata kunci sensitif (cth, kata laluan, bank)
- Boleh memulakan tindakan seperti pemindahan dana tanpa kebenaran
PluginClipper
- Menggantikan alamat dompet mata wang kripto yang disalin dengan alamat yang dikawal oleh penyerang
Selain itu, PureRAT menyediakan penyerang dengan:
- Pengelogan kunci
- Kawalan desktop jauh
- Akses kepada fail, pendaftaran, kamera, mikrofon dan proses berjalan
Jangkitan Berlapis: Lebih daripada Sekadar PureRAT
Boleh laku awal juga mengekstrak StilKrip.exe, pemuat turun komersial yang dikenali sebagai PureCrypter yang telah beredar sejak 2022. Alat ini meneruskan untuk memuat turun fail kedua, Bghwwhmlr.wav, yang mencetuskan rantaian pelaksanaan baharu. Urutan ini akhirnya melancarkan Ttcxxewxtly.exe, yang membawa kepada pengaktifan Bftvbho.dll, komponen teras daripada strain malware kedua yang dikenali sebagai PureLogs.
PureLogs berfungsi sebagai pencuri maklumat yang berkuasa. Setelah aktif, ia secara senyap menuai pelbagai data sensitif, termasuk bukti kelayakan dan maklumat pengguna daripada penyemak imbas Web, klien e-mel, perkhidmatan VPN dan aplikasi pemesejan. Ia juga menyasarkan pengurus kata laluan, aplikasi dompet mata wang kripto dan alat pemindahan fail yang digunakan secara meluas seperti FileZilla dan WinSCP, memberikan penyerang akses mendalam kepada kedua-dua data peribadi dan organisasi.
Kesimpulan: E-mel Masih Pautan Paling Lemah
Gabungan PureRAT dan PureLogs menawarkan penjenayah siber keupayaan yang luas untuk mengintip, mengumpul dan mengawal sistem yang terjejas. Penggunaan berterusan e-mel pancingan data dengan lampiran atau pautan berbahaya terus menjadi titik masuk utama, menekankan keperluan kritikal untuk penapisan e-mel yang mantap dan kesedaran pengguna dalam pertahanan keselamatan siber organisasi.
