Malware PureRAT
Badacze cyberbezpieczeństwa odkryli dużą kampanię phishingową wymierzoną w rosyjskie organizacje, dostarczającą złośliwe oprogramowanie typu backdoor znane jako PureRAT. Chociaż kampania rozpoczęła się w marcu 2023 r., na początku 2025 r. odnotowała gwałtowny wzrost, czterokrotnie zwiększając liczbę ataków obserwowanych w tym samym okresie w 2024 r. Chociaż nie zidentyfikowano żadnego konkretnego podmiotu zagrażającego, metody i złośliwe oprogramowanie wskazują na wysoce skoordynowaną operację.
Spis treści
Oszukańcza dostawa: Anatomia ataku
Atak rozpoczyna się od wiadomości e-mail phishing zawierającej archiwum .RAR lub link do pobrania. Zamaskowane za pomocą mylących podwójnych rozszerzeń (np. doc_054_[redacted].pdf.rar), archiwum udaje plik Microsoft Word lub PDF. Gdy ofiara otworzy plik, uruchamiany jest plik wykonywalny w środku.
Ten plik wykonywalny wykonuje kilka ukrytych działań:
- Kopiuje się do %AppData% jako task.exe
- Tworzy skrypt Task.vbs w folderze Uruchamianie w celu zachowania trwałości
- Wypakowuje i uruchamia ckcfb.exe
Następnie ckcfb.exe przechodzi do użycia InstallUtil.exe w celu wykonania odszyfrowanego modułu. Odszyfrowuje również i ładuje Spydgozoi.dll, który zawiera podstawowy ładunek PureRAT.
Zdalne sterowanie: co potrafi PureRAT
Po uzyskaniu przyczółka PureRAT nawiązuje szyfrowane połączenie z serwerem Command-and-Control (C2) i przekazuje informacje systemowe. Następnie może odbierać i wykonywać uszkodzone moduły, takie jak:
Opcja wtyczki PC
- Wykonuje samoczynne usuwanie
- Ponownie uruchamia procesy złośliwego oprogramowania
- Wyłącza lub restartuje system
WtyczkaWindowNotify
- Monitoruje aktywne okna pod kątem wrażliwych słów kluczowych (np. hasło, bank)
- Może inicjować działania takie jak nieautoryzowane przelewy środków
Wtyczka Clipper
- Zastępuje skopiowane adresy portfeli kryptowalut adresami kontrolowanymi przez atakującego
Dodatkowo PureRAT zapewnia atakującym:
- Rejestrowanie klawiszy
- Zdalne sterowanie pulpitem
- Dostęp do plików, rejestru, kamery, mikrofonu i uruchomionych procesów
Warstwowa infekcja: coś więcej niż tylko PureRAT
Początkowy plik wykonywalny wyodrębnia również StilKrip.exe, komercyjny program do pobierania znany jako PureCrypter, który jest w obiegu od 2022 r. To narzędzie pobiera plik wtórny, Bghwwhmlr.wav, który uruchamia nowy łańcuch wykonywania. Ta sekwencja ostatecznie uruchamia Ttcxxewxtly.exe, co prowadzi do aktywacji Bftvbho.dll, głównego komponentu drugiego szczepu złośliwego oprogramowania znanego jako PureLogs.
PureLogs działa jako potężny złodziej informacji. Po aktywacji po cichu zbiera szeroki zakres poufnych danych, w tym dane uwierzytelniające i informacje o użytkownikach z przeglądarek internetowych, klientów poczty e-mail, usług VPN i aplikacji do przesyłania wiadomości. Ma również na celu menedżerów haseł, aplikacje portfeli kryptowalutowych i powszechnie używane narzędzia do przesyłania plików, takie jak FileZilla i WinSCP, zapewniając atakującym głęboki dostęp do danych osobowych i organizacyjnych.
Wnioski: E-mail nadal najsłabszym ogniwem
Połączenie PureRAT i PureLogs oferuje cyberprzestępcom szerokie możliwości szpiegowania, zbierania i kontrolowania zagrożonych systemów. Ciągłe używanie wiadomości phishingowych ze szkodliwymi załącznikami lub linkami nadal stanowi główny punkt wejścia, podkreślając krytyczną potrzebę solidnego filtrowania wiadomości e-mail i świadomości użytkowników w zakresie obrony cyberbezpieczeństwa organizacji.
