Škodlivý softvér PureRAT

Výskumníci v oblasti kybernetickej bezpečnosti odhalili rozsiahlu phishingovú kampaň zameranú na ruské organizácie, ktorá využívala zadné vrátka malvéru známeho ako PureRAT. Hoci kampaň začala v marci 2023, začiatkom roka 2025 zaznamenala dramatický nárast, čím sa počet útokov zaznamenaných v rovnakom období v roku 2024 štvornásobne zvýšil. Hoci nebol identifikovaný žiadny konkrétny aktér hrozby, použité metódy a malvér naznačujú vysoko koordinovanú operáciu.

Klamlivé doručenie: Anatómia útoku

Útok začína phishingovým e-mailom, ktorý obsahuje archív .RAR alebo odkaz na stiahnutie. Archív je maskovaný zavádzajúcimi dvojitými príponami (napr. doc_054_[redigované].pdf.rar) a predstiera, že ide o súbor programu Microsoft Word alebo PDF. Po otvorení súboru obeťou sa spustí spustiteľný súbor vo vnútri.

Tento spustiteľný program vykonáva niekoľko nenápadných akcií:

• Skopíruje sa do %AppData% ako task.exe
• Vytvorí skript Task.vbs v priečinku Startup pre uchovanie
• Extrahuje a spúšťa súbor ckcfb.exe

Súbor ckcfb.exe následne použije súbor InstallUtil.exe na spustenie dešifrovaného modulu. Taktiež dešifruje a načíta súbor Spydgozoi.dll, ktorý obsahuje primárny dátový súbor PureRAT.

Diaľkové ovládanie: Čo dokáže PureRAT

Po získaní oporného bodu PureRAT nadviaže šifrované spojenie so serverom Command-and-Control (C2) a odovzdáva systémové informácie. Následne môže prijímať a spúšťať poškodené moduly, ako napríklad:

Možnosť pre PC s doplnkom

• Vykoná samovymazanie
• Reštartuje procesy škodlivého softvéru
• Vypne alebo reštartuje systém

PluginWindowNotify

• Monitoruje aktívne okná a hľadá citlivé kľúčové slová (napr. heslo, banka)
• Môže iniciovať akcie, ako sú neoprávnené prevody finančných prostriedkov

PluginClipper

• Nahrádza skopírované adresy kryptomenových peňaženiek adresami ovládanými útočníkom

PureRAT navyše útočníkom poskytuje:

• Keylogging
• Ovládanie vzdialenej plochy
• Prístup k súborom, registru, kamere, mikrofónu a spusteným procesom

Vrstvená infekcia: Viac než len PureRAT

Počiatočný spustiteľný súbor tiež extrahuje StilKrip.exe, komerčný sťahovač známy ako PureCrypter, ktorý je v obehu od roku 2022. Tento nástroj následne stiahne sekundárny súbor Bghwwhmlr.wav, čo spustí nový reťazec vykonávania. Táto sekvencia nakoniec spustí Ttcxxewxtly.exe, čo vedie k aktivácii Bftvbho.dll, základnej súčasti druhého kmeňa malvéru známeho ako PureLogs.

PureLogs funguje ako silný nástroj na krádež informácií. Po aktivácii ticho zhromažďuje širokú škálu citlivých údajov vrátane prihlasovacích údajov a informácií o používateľoch z webových prehliadačov, e-mailových klientov, služieb VPN a aplikácií na odosielanie správ. Zameriava sa aj na správcov hesiel, aplikácie kryptomenových peňaženiek a široko používané nástroje na prenos súborov, ako sú FileZilla a WinSCP, čím útočníkom poskytuje rozsiahly prístup k osobným aj organizačným údajom.

Záver: E-mail je stále najslabším článkom

Kombinácia PureRAT a PureLogs ponúka kyberzločincom rozsiahle možnosti špehovania, zhromažďovania a kontroly napadnutých systémov. Pretrvávajúce používanie phishingových e-mailov so škodlivými prílohami alebo odkazmi je naďalej primárnym vstupným bodom, čo zdôrazňuje kritickú potrebu robustného filtrovania e-mailov a informovanosti používateľov v rámci kybernetickej obrany organizácií.