Вредоносное ПО PureRAT

Исследователи кибербезопасности раскрыли крупную фишинговую кампанию, нацеленную на российские организации, которая распространяла вредоносное ПО с бэкдором, известное как PureRAT. Хотя кампания началась в марте 2023 года, она резко активизировалась в начале 2025 года, увеличив в четыре раза количество атак, наблюдавшихся за тот же период в 2024 году. Хотя конкретный субъект угрозы не был идентифицирован, используемые методы и вредоносное ПО указывают на высокоскоординированную операцию.

Обманная доставка: анатомия атаки

Атака начинается с фишингового письма, содержащего архив .RAR или ссылку для загрузки. Замаскированный с помощью вводящих в заблуждение двойных расширений (например, doc_054_[redacted].pdf.rar), архив выдает себя за файл Microsoft Word или PDF. Как только жертва открывает файл, запускается исполняемый файл внутри.

Этот исполняемый файл выполняет несколько скрытых действий:

• Копирует себя в %AppData% как task.exe
• Создает скрипт Task.vbs в папке «Автозагрузка» для сохранения
• Извлекает и запускает ckcfb.exe

В свою очередь, ckcfb.exe продолжает использовать InstallUtil.exe для выполнения расшифрованного модуля. Он также расшифровывает и загружает Spydgozoi.dll, который содержит основную полезную нагрузку PureRAT.

Удаленное управление: что может PureRAT

После закрепления PureRAT устанавливает зашифрованное соединение с сервером Command-and-Control (C2) и передает системную информацию. Затем он может получать и выполнять поврежденные модули, такие как:

PluginPcOption

• Выполняет самоудаление
• Перезапускает вредоносные процессы
• Выключает или перезагружает систему

ПлагинWindowNotify

• Отслеживает активные окна на предмет конфиденциальных ключевых слов (например, пароль, банк)
• Может инициировать такие действия, как несанкционированные переводы средств

ПлагинClipper

• Заменяет скопированные адреса криптовалютных кошельков на адреса, контролируемые злоумышленником

Кроме того, PureRAT предоставляет злоумышленникам:

• Кейлоггинг
• Удаленное управление рабочим столом
• Доступ к файлам, реестру, камере, микрофону и запущенным процессам

Многоуровневое заражение: больше, чем просто PureRAT

Первоначальный исполняемый файл также извлекает StilKrip.exe, коммерческий загрузчик, известный как PureCrypter, который находится в обращении с 2022 года. Этот инструмент продолжает загрузку вторичного файла, Bghwwhmlr.wav, который запускает новую цепочку выполнения. Эта последовательность в конечном итоге запускает Ttcxxewxtly.exe, что приводит к активации Bftvbho.dll, основного компонента второго штамма вредоносного ПО, известного как PureLogs.

PureLogs функционирует как мощный похититель информации. После активации он незаметно собирает широкий спектр конфиденциальных данных, включая учетные данные и информацию о пользователях из веб-браузеров, почтовых клиентов, служб VPN и приложений для обмена сообщениями. Он также нацелен на менеджеры паролей, приложения для криптовалютных кошельков и широко используемые инструменты передачи файлов, такие как FileZilla и WinSCP, предоставляя злоумышленникам глубокий доступ как к личным, так и к организационным данным.

Вывод: электронная почта по-прежнему остается самым слабым звеном

Сочетание PureRAT и PureLogs предоставляет киберпреступникам обширные возможности для шпионажа, сбора и контроля скомпрометированных систем. Продолжающееся использование фишинговых писем с вредоносными вложениями или ссылками по-прежнему остается основной точкой входа, подчеркивая критическую необходимость надежной фильтрации электронной почты и осведомленности пользователей в организационной защите кибербезопасности.