PureRAT ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਰੂਸੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਇੱਕ ਵੱਡੀ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਪਿਓਰੈਟ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਦੀ ਸਪਲਾਈ ਕੀਤੀ ਗਈ ਹੈ। ਹਾਲਾਂਕਿ ਇਹ ਮੁਹਿੰਮ ਮਾਰਚ 2023 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਈ ਸੀ, ਪਰ 2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਇਸ ਵਿੱਚ ਨਾਟਕੀ ਵਾਧਾ ਹੋਇਆ, ਜਿਸ ਨਾਲ 2024 ਵਿੱਚ ਇਸੇ ਸਮੇਂ ਦੌਰਾਨ ਦੇਖੇ ਗਏ ਹਮਲਿਆਂ ਦੀ ਗਿਣਤੀ ਚੌਗੁਣੀ ਹੋ ਗਈ। ਹਾਲਾਂਕਿ ਕਿਸੇ ਖਾਸ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਦੀ ਪਛਾਣ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ, ਪਰ ਵਰਤੇ ਗਏ ਤਰੀਕੇ ਅਤੇ ਮਾਲਵੇਅਰ ਇੱਕ ਬਹੁਤ ਹੀ ਤਾਲਮੇਲ ਵਾਲੀ ਕਾਰਵਾਈ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।

ਧੋਖੇਬਾਜ਼ ਡਿਲੀਵਰੀ: ਹਮਲੇ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ

ਹਮਲਾ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ .RAR ਆਰਕਾਈਵ ਜਾਂ ਇੱਕ ਡਾਊਨਲੋਡ ਲਿੰਕ ਹੁੰਦਾ ਹੈ। ਗੁੰਮਰਾਹਕੁੰਨ ਡਬਲ ਐਕਸਟੈਂਸ਼ਨਾਂ (ਜਿਵੇਂ ਕਿ, doc_054_[redacted].pdf.rar) ਦੇ ਭੇਸ ਵਿੱਚ, ਆਰਕਾਈਵ ਇੱਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਡ ਜਾਂ PDF ਫਾਈਲ ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਪੀੜਤ ਫਾਈਲ ਖੋਲ੍ਹਦਾ ਹੈ, ਤਾਂ ਅੰਦਰ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਲਾਂਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਕਈ ਗੁਪਤ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ:

• ਆਪਣੇ ਆਪ ਨੂੰ task.exe ਦੇ ਤੌਰ 'ਤੇ %AppData% ਵਿੱਚ ਕਾਪੀ ਕਰਦਾ ਹੈ।
• ਸਥਿਰਤਾ ਲਈ ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਵਿੱਚ ਇੱਕ Task.vbs ਸਕ੍ਰਿਪਟ ਬਣਾਉਂਦਾ ਹੈ।
• ckcfb.exe ਨੂੰ ਕੱਢਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ।

ਬਦਲੇ ਵਿੱਚ, ckcfb.exe ਇੱਕ ਡੀਕ੍ਰਿਪਟਡ ਮੋਡੀਊਲ ਨੂੰ ਚਲਾਉਣ ਲਈ InstallUtil.exe ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ Spydgozoi.dll ਨੂੰ ਵੀ ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਲੋਡ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਪ੍ਰਾਇਮਰੀ PureRAT ਪੇਲੋਡ ਹੁੰਦਾ ਹੈ।

ਰਿਮੋਟ ਕੰਟਰੋਲ: PureRAT ਕੀ ਕਰ ਸਕਦਾ ਹੈ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਇਹ ਸਥਾਪਿਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ PureRAT ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਇੱਕ ਏਨਕ੍ਰਿਪਟਡ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਨੂੰ ਰੀਲੇਅ ਕਰਦਾ ਹੈ। ਇਹ ਫਿਰ ਖਰਾਬ ਮੋਡੀਊਲ ਪ੍ਰਾਪਤ ਅਤੇ ਚਲਾ ਸਕਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ:

ਪਲੱਗਇਨਪੀਸੀਓਪਸ਼ਨ

• ਸਵੈ-ਮਿਟਾਉਣਾ ਲਾਗੂ ਕਰਦਾ ਹੈ
• ਮਾਲਵੇਅਰ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਦਾ ਹੈ
• ਸਿਸਟਮ ਨੂੰ ਬੰਦ ਜਾਂ ਰੀਬੂਟ ਕਰਦਾ ਹੈ

ਪਲੱਗਇਨਵਿੰਡੋਨੋਟੀਫਾਈ

• ਸੰਵੇਦਨਸ਼ੀਲ ਕੀਵਰਡਸ (ਜਿਵੇਂ ਕਿ ਪਾਸਵਰਡ, ਬੈਂਕ) ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਵਿੰਡੋਜ਼ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ।
• ਅਣਅਧਿਕਾਰਤ ਫੰਡ ਟ੍ਰਾਂਸਫਰ ਵਰਗੀਆਂ ਕਾਰਵਾਈਆਂ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ

ਪਲੱਗਇਨਕਲਿਪਰ

• ਕਾਪੀ ਕੀਤੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲੇਟ ਪਤਿਆਂ ਨੂੰ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਪਤਿਆਂ ਨਾਲ ਬਦਲਦਾ ਹੈ

ਇਸ ਤੋਂ ਇਲਾਵਾ, PureRAT ਹਮਲਾਵਰਾਂ ਨੂੰ ਇਹ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ:

• ਕੀਲੌਗਿੰਗ
• ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਕੰਟਰੋਲ
• ਫਾਈਲਾਂ, ਰਜਿਸਟਰੀ, ਕੈਮਰਾ, ਮਾਈਕ੍ਰੋਫੋਨ ਅਤੇ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਤੱਕ ਪਹੁੰਚ

ਪਰਤਦਾਰ ਲਾਗ: ਸਿਰਫ਼ PureRAT ਤੋਂ ਵੱਧ

ਸ਼ੁਰੂਆਤੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ StilKrip.exe ਨੂੰ ਵੀ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ, ਇੱਕ ਵਪਾਰਕ ਡਾਊਨਲੋਡਰ ਜਿਸਨੂੰ PureCrypter ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ ਜੋ 2022 ਤੋਂ ਪ੍ਰਚਲਨ ਵਿੱਚ ਹੈ। ਇਹ ਟੂਲ ਇੱਕ ਸੈਕੰਡਰੀ ਫਾਈਲ, Bghwwhmlr.wav ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ, ਜੋ ਇੱਕ ਨਵੀਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ। ਇਹ ਕ੍ਰਮ ਅੰਤ ਵਿੱਚ Ttcxxewxtly.exe ਨੂੰ ਲਾਂਚ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ Bftvbho.dll ਦੀ ਐਕਟੀਵੇਸ਼ਨ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿ PureLogs ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਦੂਜੇ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਦਾ ਮੁੱਖ ਹਿੱਸਾ ਹੈ।

PureLogs ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਚੁੱਪਚਾਪ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ, ਈਮੇਲ ਕਲਾਇੰਟਾਂ, VPN ਸੇਵਾਵਾਂ ਅਤੇ ਮੈਸੇਜਿੰਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਤੇ ਉਪਭੋਗਤਾ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਪਾਸਵਰਡ ਪ੍ਰਬੰਧਕਾਂ, ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਅਤੇ ਫਾਈਲਜ਼ਿਲਾ ਅਤੇ ਵਿਨਐਸਸੀਪੀ ਵਰਗੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਟੂਲਸ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਨਿੱਜੀ ਅਤੇ ਸੰਗਠਨਾਤਮਕ ਡੇਟਾ ਦੋਵਾਂ ਤੱਕ ਡੂੰਘੀ ਪਹੁੰਚ ਮਿਲਦੀ ਹੈ।

ਸਿੱਟਾ: ਈਮੇਲ ਅਜੇ ਵੀ ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਲਿੰਕ ਹੈ

PureRAT ਅਤੇ PureLogs ਦਾ ਸੁਮੇਲ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਜਾਸੂਸੀ ਕਰਨ, ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਨੂੰ ਕੰਟਰੋਲ ਕਰਨ ਲਈ ਵਿਆਪਕ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਨੁਕਸਾਨਦੇਹ ਅਟੈਚਮੈਂਟਾਂ ਜਾਂ ਲਿੰਕਾਂ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੀ ਨਿਰੰਤਰ ਵਰਤੋਂ ਮੁੱਖ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ ਬਣੀ ਹੋਈ ਹੈ, ਜੋ ਸੰਗਠਨਾਤਮਕ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿੱਚ ਮਜ਼ਬੂਤ ਈਮੇਲ ਫਿਲਟਰਿੰਗ ਅਤੇ ਉਪਭੋਗਤਾ ਜਾਗਰੂਕਤਾ ਦੀ ਮਹੱਤਵਪੂਰਨ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।