Programe malware PureRAT
Cercetătorii în domeniul securității cibernetice au descoperit o campanie majoră de phishing care vizează organizațiile rusești, distribuind un malware backdoor cunoscut sub numele de PureRAT. Deși campania a început în martie 2023, a înregistrat o creștere dramatică la începutul anului 2025, cvadruplând numărul de atacuri observate în aceeași perioadă a anului 2024. Deși nu a fost identificat niciun actor amenințător specific, metodele și malware-ul utilizat indică o operațiune extrem de coordonată.
Cuprins
Livrare înșelătoare: Anatomia atacului
Atacul inițiază cu un e-mail de tip phishing care conține o arhivă .RAR sau un link de descărcare. Deghizată cu extensii duble înșelătoare (de exemplu, doc_054_[redacted].pdf.rar), arhiva se preface a fi un fișier Microsoft Word sau PDF. Odată ce victima deschide fișierul, se lansează un fișier executabil din interior.
Acest executabil efectuează mai multe acțiuni ascunse:
- Se copiază în %AppData% ca task.exe
- Creează un script Task.vbs în folderul Startup pentru persistență
- Extrage și rulează ckcfb.exe
La rândul său, ckcfb.exe folosește InstallUtil.exe pentru a executa un modul decriptat. De asemenea, decriptează și încarcă Spydgozoi.dll, care conține sarcina utilă principală PureRAT.
Telecomandă: Ce poate face PureRAT
După ce își consolidează activitatea, PureRAT stabilește o conexiune criptată cu un server de comandă și control (C2) și transmite informații despre sistem. Apoi poate primi și executa module corupte, cum ar fi:
Opțiune PluginPc
- Execută autoștergerea
- Repornește procesele malware
- Oprește sau repornește sistemul
PluginWindowNotify
- Monitorizează ferestrele active pentru cuvinte cheie sensibile (de exemplu, parolă, bancă)
- Poate iniția acțiuni precum transferuri neautorizate de fonduri
PluginClipper
- Înlocuiește adresele copiate ale portofelului de criptomonede cu cele controlate de atacatori
În plus, PureRAT oferă atacatorilor:
- Keylogging
- Control la distanță pe desktop
- Acces la fișiere, registru, cameră, microfon și procese care rulează
Infecție stratificată: Mai mult decât PureRAT
Executabilul inițial extrage și StilKrip.exe, un program comercial de descărcare cunoscut sub numele de PureCrypter, aflat în circulație din 2022. Acest instrument descarcă un fișier secundar, Bghwwhmlr.wav, care declanșează un nou lanț de execuție. Această secvență lansează în cele din urmă fișierul Ttcxxewxtly.exe, ducând la activarea fișierului Bftvbho.dll, componenta principală a unei a doua tulpini de malware cunoscută sub numele de PureLogs.
PureLogs funcționează ca un puternic instrument de furt de informații. Odată activ, acesta colectează în mod silențios o gamă largă de date sensibile, inclusiv acreditări și informații despre utilizatori din browsere web, clienți de e-mail, servicii VPN și aplicații de mesagerie. De asemenea, vizează administratorii de parole, aplicațiile de portofel pentru criptomonede și instrumente de transfer de fișiere utilizate pe scară largă, cum ar fi FileZilla și WinSCP, oferind atacatorilor acces aprofundat atât la date personale, cât și la cele organizaționale.
Concluzie: Emailul este în continuare veriga slabă
Combinația dintre PureRAT și PureLogs oferă infractorilor cibernetici capacități extinse de a spiona, colecta și controla sistemele compromise. Utilizarea continuă a e-mailurilor de tip phishing cu atașamente sau linkuri dăunătoare continuă să fie principalul punct de intrare, subliniind nevoia critică de filtrare robustă a e-mailurilor și de conștientizare a utilizatorilor în apărarea cibernetică a organizațiilor.
