PureRAT मालवेयर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले रूसी संस्थाहरूलाई लक्षित गर्दै एउटा प्रमुख फिसिङ अभियान पत्ता लगाएका छन्, जसले PureRAT भनेर चिनिने ब्याकडोर मालवेयर प्रदान गर्दछ। यद्यपि अभियान मार्च २०२३ मा सुरु भएको थियो, २०२५ को सुरुमा यसले नाटकीय वृद्धि देख्यो, जसले २०२४ मा सोही अवधिमा देखिएका आक्रमणहरूको संख्यालाई चार गुणा बढायो। कुनै विशेष खतरा अभिनेता पहिचान गरिएको छैन, प्रयोग गरिएका विधिहरू र मालवेयरले उच्च समन्वित सञ्चालनलाई संकेत गर्दछ।

भ्रामक डेलिभरी: आक्रमणको शरीर रचना

आक्रमण .RAR अभिलेख वा डाउनलोड लिङ्क भएको फिसिङ इमेलबाट सुरु हुन्छ। भ्रामक दोहोरो एक्सटेन्सनहरू (जस्तै, doc_054_[redacted].pdf.rar) को भेषमा, अभिलेखले माइक्रोसफ्ट वर्ड वा PDF फाइल भएको बहाना गर्छ। पीडितले फाइल खोलेपछि, भित्र एउटा कार्यान्वयनयोग्य फाइल सुरु हुन्छ।

यो कार्यान्वयनयोग्यले धेरै गोप्य कार्यहरू गर्दछ:

• task.exe को रूपमा %AppData% मा प्रतिलिपि बनाउँछ।
• स्थिरताको लागि स्टार्टअप फोल्डरमा Task.vbs स्क्रिप्ट सिर्जना गर्दछ।
• ckcfb.exe निकाल्छ र चलाउँछ

बदलामा, ckcfb.exe ले डिक्रिप्टेड मोड्युल कार्यान्वयन गर्न InstallUtil.exe प्रयोग गर्न अगाडि बढ्छ। यसले Spydgozoi.dll लाई पनि डिक्रिप्ट र लोड गर्छ, जसमा प्राथमिक PureRAT पेलोड हुन्छ।

रिमोट कन्ट्रोल: PureRAT ले के गर्न सक्छ

आफ्नो पकड जमाइसकेपछि, PureRAT ले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग इन्क्रिप्टेड जडान स्थापना गर्छ र प्रणाली जानकारी रिले गर्छ। त्यसपछि यसले भ्रष्ट मोड्युलहरू प्राप्त गर्न र कार्यान्वयन गर्न सक्छ, जस्तै:

प्लगइनPcOption

• स्व-मेटाउने कार्य गर्दछ
• मालवेयर प्रक्रियाहरू पुन: सुरु गर्छ
• प्रणाली बन्द गर्छ वा रिबुट गर्छ

प्लगइनविन्डोसूचना

• संवेदनशील किवर्डहरू (जस्तै, पासवर्ड, बैंक) को लागि सक्रिय विन्डोजहरूको निगरानी गर्दछ।
• अनधिकृत कोष स्थानान्तरण जस्ता कार्यहरू सुरु गर्न सक्छ

प्लगइनक्लिपर

• प्रतिलिपि गरिएको क्रिप्टोकरेन्सी वालेट ठेगानाहरूलाई आक्रमणकारी-नियन्त्रित ठेगानाहरूले प्रतिस्थापन गर्दछ।

थप रूपमा, PureRAT ले आक्रमणकारीहरूलाई प्रदान गर्दछ:

• किलगिङ
• रिमोट डेस्कटप नियन्त्रण
• फाइलहरू, रजिस्ट्री, क्यामेरा, माइक्रोफोन र चलिरहेका प्रक्रियाहरूमा पहुँच

तहगत संक्रमण: PureRAT भन्दा बढी

प्रारम्भिक कार्यान्वयनयोग्यले StilKrip.exe लाई पनि निकाल्छ, जुन PureCrypter भनेर चिनिने व्यावसायिक डाउनलोडर हो जुन २०२२ देखि प्रचलनमा छ। यो उपकरणले माध्यमिक फाइल, Bghwwhmlr.wav डाउनलोड गर्न अगाडि बढ्छ, जसले नयाँ कार्यान्वयन श्रृंखला ट्रिगर गर्दछ। यो अनुक्रमले अन्ततः Ttcxxewxtly.exe सुरु गर्छ, जसले PureLogs भनेर चिनिने दोस्रो मालवेयर स्ट्रेनको मुख्य घटक Bftvbho.dll को सक्रियतामा नेतृत्व गर्छ।

PureLogs ले एक शक्तिशाली जानकारी चोरको रूपमा काम गर्छ। एक पटक सक्रिय भएपछि, यसले वेब ब्राउजरहरू, इमेल क्लाइन्टहरू, VPN सेवाहरू र सन्देश अनुप्रयोगहरूबाट प्रमाणहरू र प्रयोगकर्ता जानकारी सहित संवेदनशील डेटाको विस्तृत दायरा चुपचाप सङ्कलन गर्दछ। यसले पासवर्ड प्रबन्धकहरू, क्रिप्टोकरेन्सी वालेट अनुप्रयोगहरू, र FileZilla र WinSCP जस्ता व्यापक रूपमा प्रयोग हुने फाइल स्थानान्तरण उपकरणहरूलाई पनि लक्षित गर्दछ, जसले आक्रमणकारीहरूलाई व्यक्तिगत र संगठनात्मक डेटा दुवैमा गहिरो पहुँच दिन्छ।

निष्कर्ष: इमेल अझै पनि सबैभन्दा कमजोर लिङ्क हो

PureRAT र PureLogs को संयोजनले साइबर अपराधीहरूलाई जासुसी गर्न, सङ्कलन गर्न र सम्झौता गरिएका प्रणालीहरू नियन्त्रण गर्न व्यापक क्षमताहरू प्रदान गर्दछ। हानिकारक संलग्नक वा लिङ्कहरू भएका फिसिङ इमेलहरूको निरन्तर प्रयोग प्राथमिक प्रवेश बिन्दुको रूपमा जारी छ, जसले संगठनात्मक साइबर सुरक्षा प्रतिरक्षामा बलियो इमेल फिल्टरिङ र प्रयोगकर्ता जागरूकताको महत्वपूर्ण आवश्यकतालाई जोड दिन्छ।