PureRAT-malware
Cybersecurityonderzoekers hebben een grootschalige phishingcampagne ontdekt die gericht is op Russische organisaties en die backdoor-malware genaamd PureRAT verspreidt. Hoewel de campagne in maart 2023 begon, nam deze begin 2025 een dramatische stijging waar, met een verviervoudiging van het aantal aanvallen in dezelfde periode in 2024. Hoewel er geen specifieke dreigingsactor is geïdentificeerd, wijzen de gebruikte methoden en malware op een zeer gecoördineerde operatie.
Inhoudsopgave
Misleidende levering: de anatomie van de aanval
De aanval begint met een phishingmail met een .RAR-archief of een downloadlink. Vermomd met misleidende dubbele extensies (bijv. doc_054_[geredigeerd].pdf.rar) doet het archief zich voor als een Microsoft Word- of PDF-bestand. Zodra het slachtoffer het bestand opent, wordt er een uitvoerbaar bestand in geopend.
Dit uitvoerbare bestand voert verschillende stiekeme acties uit:
- Kopieert zichzelf naar %AppData% als task.exe
- Maakt een Task.vbs-script in de map Opstarten voor persistentie
- Pakt ckcfb.exe uit en voert het uit
ckcfb.exe gebruikt vervolgens InstallUtil.exe om een gedecodeerde module uit te voeren. Het decodeert en laadt ook Spydgozoi.dll, dat de primaire PureRAT-payload bevat.
Afstandsbediening: wat PureRAT kan doen
Nadat PureRAT voet aan de grond heeft gekregen, brengt het een versleutelde verbinding tot stand met een Command-and-Control (C2)-server en geeft het systeeminformatie door. Vervolgens kan het corrupte modules ontvangen en uitvoeren, zoals:
PluginPcOption
- Voert zelfverwijdering uit
- Herstart malwareprocessen
- Schakelt het systeem uit of start het opnieuw op
PluginWindowNotify
- Controleert actieve vensters op gevoelige trefwoorden (bijv. wachtwoord, bank)
- Kan acties initiëren zoals ongeautoriseerde geldtransfers
PluginClipper
- Vervangt gekopieerde cryptocurrency-walletadressen door door aanvallers gecontroleerde adressen
Bovendien biedt PureRAT aanvallers:
- Keylogging
- Beheer van externe bureaubladen
- Toegang tot bestanden, het register, de camera, de microfoon en lopende processen
Gelaagde infectie: meer dan alleen PureRAT
Het eerste uitvoerbare bestand extraheert ook StilKrip.exe, een commerciële downloader genaamd PureCrypter die sinds 2022 in omloop is. Deze tool downloadt vervolgens een secundair bestand, Bghwwhmlr.wav, wat een nieuwe uitvoeringsketen activeert. Deze reeks start uiteindelijk Ttcxxewxtly.exe, wat leidt tot de activering van Bftvbho.dll, de kerncomponent van een tweede malwarestam genaamd PureLogs.
PureLogs fungeert als een krachtige informatiedief. Eenmaal actief, verzamelt het onopgemerkt een breed scala aan gevoelige gegevens, waaronder inloggegevens en gebruikersinformatie uit webbrowsers, e-mailclients, VPN-diensten en berichtenapplicaties. Het richt zich ook op wachtwoordmanagers, cryptocurrency wallet-applicaties en veelgebruikte tools voor bestandsoverdracht zoals FileZilla en WinSCP, waardoor aanvallers diepgaande toegang krijgen tot zowel persoonlijke als bedrijfsgegevens.
Conclusie: e-mail is nog steeds de zwakste schakel
De combinatie van PureRAT en PureLogs biedt cybercriminelen uitgebreide mogelijkheden om gecompromitteerde systemen te bespioneren, te verzamelen en te controleren. Het voortdurende gebruik van phishing-e-mails met schadelijke bijlagen of links blijft het belangrijkste toegangspunt, wat de cruciale noodzaak onderstreept van robuuste e-mailfiltering en gebruikersbewustzijn in de cyberbeveiliging van organisaties.
