PureRAT-skadevare
Forskere innen nettsikkerhet har avdekket en større phishing-kampanje rettet mot russiske organisasjoner, som leverte en bakdørsskadevare kjent som PureRAT. Selv om kampanjen startet i mars 2023, opplevde den en dramatisk økning tidlig i 2025, og firedoblet antallet angrep som ble sett i samme periode i 2024. Selv om ingen spesifikk trusselaktør er identifisert, indikerer metodene og skadevaren som ble brukt en svært koordinert operasjon.
Innholdsfortegnelse
Villedende levering: Angrepets anatomi
Angrepet starter med en phishing-e-post som inneholder et .RAR-arkiv eller en nedlastingslenke. Arkivet er kamuflert med villedende doble filendelser (f.eks. doc_054_[redacted].pdf.rar), og later som det er en Microsoft Word- eller PDF-fil. Når offeret åpner filen, startes en kjørbar fil inni.
Denne kjørbare appen utfører flere skjulte handlinger:
- Kopierer seg selv til %AppData% som task.exe
- Oppretter et Task.vbs-skript i oppstartsmappen for varighet
- Pakker ut og kjører ckcfb.exe
ckcfb.exe bruker deretter InstallUtil.exe til å kjøre en dekryptert modul. Den dekrypterer og laster også Spydgozoi.dll, som inneholder den primære PureRAT-nyttelasten.
Fjernkontroll: Hva PureRAT kan gjøre
Etter å ha fått fotfeste, etablerer PureRAT en kryptert forbindelse med en kommando-og-kontroll (C2)-server og videresender systeminformasjon. Den kan deretter motta og kjøre ødelagte moduler, for eksempel:
PluginPcOption
- Utfører selvsletting
- Starter malware-prosesser på nytt
- Slår av eller starter systemet på nytt
Plugin-vinduVarsle
- Overvåker aktive vinduer for sensitive nøkkelord (f.eks. passord, bank)
- Kan sette i gang handlinger som uautoriserte pengeoverføringer
PluginClipper
- Erstatter kopierte adresser for kryptovaluta-lommebøker med angriperkontrollerte adresser
I tillegg gir PureRAT angripere:
- Tastelogging
- Ekstern skrivebordskontroll
- Tilgang til filer, registeret, kamera, mikrofon og kjørende prosesser
Lagdelt infeksjon: Mer enn bare PureRAT
Den første kjørbare filen pakker også ut StilKrip.exe, et kommersielt nedlastingsprogram kjent som PureCrypter som har vært i omløp siden 2022. Dette verktøyet laster ned en sekundær fil, Bghwwhmlr.wav, som utløser en ny utførelseskjede. Denne sekvensen starter til slutt Ttcxxewxtly.exe, noe som fører til aktivering av Bftvbho.dll, kjernekomponenten i en annen skadelig programvarestamme kjent som PureLogs.
PureLogs fungerer som en kraftig informasjonstyver. Når den er aktiv, samler den i stillhet inn et bredt spekter av sensitive data, inkludert påloggingsinformasjon og brukerinformasjon fra nettlesere, e-postklienter, VPN-tjenester og meldingsapplikasjoner. Den retter seg også mot passordbehandlere, kryptovaluta-lommebokapplikasjoner og mye brukte filoverføringsverktøy som FileZilla og WinSCP, noe som gir angripere dyp tilgang til både personlige og organisatoriske data.
Konklusjon: E-post er fortsatt det svakeste leddet
Kombinasjonen av PureRAT og PureLogs gir nettkriminelle omfattende muligheter til å spionere, samle inn og kontrollere kompromitterte systemer. Den pågående bruken av phishing-e-poster med skadelige vedlegg eller lenker fortsetter å være det primære inngangspunktet, noe som understreker det kritiske behovet for robust e-postfiltrering og brukerbevissthet i organisasjoners nettsikkerhetsforsvar.
