PureRAT Malware

Os pesquisadores de segurança cibernética descobriram uma grande campanha de phishing direcionada a organizações russas, que disseminava um malware backdoor conhecido como PureRAT. Embora a campanha tenha começado em março de 2023, teve um aumento drástico no início de 2025, quadruplicando o número de ataques registrados no mesmo período em 2024. Embora nenhum agente de ameaça específico tenha sido identificado, os métodos e o malware utilizados indicam uma operação altamente coordenada.

Entrega Enganosa: A Anatomia do Ataque

O ataque começa com um e-mail de phishing que contém um arquivo .RAR ou um link para download. Disfarçado com extensões duplas enganosas (por exemplo, doc_054_[redigido].pdf.rar), o arquivo finge ser um arquivo do Microsoft Word ou PDF. Assim que a vítima abre o arquivo, um executável é iniciado.

Este executável realiza diversas ações furtivas:

• Copia-se para %AppData% como task.exe
• Cria um script Task.vbs na pasta de inicialização para persistência
• Extrai e executa ckcfb.exe

Por sua vez, o ckcfb.exe usa o InstallUtil.exe para executar um módulo descriptografado. Ele também descriptografa e carrega o Spydgozoi.dll, que contém o payload primário do PureRAT.

Controle Remoto: O Que o PureRAT pode Fazer

Após se estabelecer, o PureRAT estabelece uma conexão criptografada com um servidor de Comando e Controle (C2) e retransmite informações do sistema. Ele pode então receber e executar módulos corrompidos, como:

PluginPcOption

• Executa autoexclusão
• Reinicia os processos de malware
• Desliga ou reinicia o sistema

PluginWindowNotify

• Monitora janelas ativas em busca de palavras-chave confidenciais (por exemplo, senha, banco)
• Pode iniciar ações como transferências de fundos não autorizadas

PluginClipper

• Substitui endereços de carteira de criptomoeda copiados por outros controlados pelo invasor

Além disso, o PureRAT fornece aos invasores:

• Keylogging
• Controle remoto da área de trabalho
• Acesso a arquivos, registro, câmera, microfone e processos em execução

Uma Infecção em Camadas: Mais do que Apenas o PureRAT

O executável inicial também extrai o StilKrip.exe, um downloader comercial conhecido como PureCrypter, em circulação desde 2022. Essa ferramenta baixa um arquivo secundário, Bghwwhmlr.wav, que aciona uma nova cadeia de execução. Essa sequência, por fim, inicia o Ttcxxewxtly.exe, levando à ativação do Bftvbho.dll, o componente principal de uma segunda cepa de malware conhecida como PureLogs.

O PureLogs funciona como um poderoso ladrão de informações. Uma vez ativo, ele coleta silenciosamente uma ampla gama de dados confidenciais, incluindo credenciais e informações de usuários de navegadores da web, clientes de e-mail, serviços de VPN e aplicativos de mensagens. Ele também tem como alvo gerenciadores de senhas, aplicativos de carteira de criptomoedas e ferramentas de transferência de arquivos amplamente utilizadas, como FileZilla e WinSCP, dando aos invasores acesso profundo a dados pessoais e organizacionais.

Conclusão: O E-Mail ainda é o Elo mais Fraco

A combinação do PureRAT e do PureLogs oferece aos cibercriminosos amplas capacidades para espionar, coletar e controlar sistemas comprometidos. O uso contínuo de e-mails de phishing com anexos ou links prejudiciais continua sendo o principal ponto de entrada, ressaltando a necessidade crítica de filtragem robusta de e-mails e conscientização do usuário nas defesas de segurança cibernética organizacional.