Zlonamerna programska oprema PureRAT
Raziskovalci kibernetske varnosti so odkrili obsežno phishing kampanjo, usmerjeno proti ruskim organizacijam, ki je uporabljala zlonamerno programsko opremo z zakulisjem, znano kot PureRAT. Čeprav se je kampanja začela marca 2023, je v začetku leta 2025 doživela dramatičen porast, s čimer se je število napadov, zabeleženih v istem obdobju leta 2024, početverilo. Čeprav ni bil identificiran noben specifičen akter grožnje, uporabljene metode in zlonamerna programska oprema kažejo na zelo usklajeno operacijo.
Kazalo
Zavajajoča dostava: Anatomija napada
Napad se začne z lažnim e-poštnim sporočilom, ki vsebuje arhiv .RAR ali povezavo za prenos. Arhiv, prikrit z zavajajočimi dvojnimi končnicami (npr. doc_054_[redigirano].pdf.rar), se pretvarja, da je datoteka Microsoft Word ali PDF. Ko žrtev odpre datoteko, se zažene izvedljiva datoteka v njej.
Ta izvedljiva datoteka izvaja več prikritih dejanj:
- Kopira se v %AppData% kot task.exe
- Ustvari skript Task.vbs v mapi Startup za ohranitev
- Razširi in zažene ckcfb.exe
ckcfb.exe nato z uporabo InstallUtil.exe izvede dešifrirani modul. Prav tako dešifrira in naloži datoteko Spydgozoi.dll, ki vsebuje primarni koristni nanos PureRAT.
Daljinski upravljalnik: Kaj zmore PureRAT
Ko se PureRAT uveljavi, vzpostavi šifrirano povezavo s strežnikom Command-and-Control (C2) in posreduje sistemske informacije. Nato lahko prejme in izvede poškodovane module, kot so:
Možnost vtičnika za računalnik
- Izvede samoizbris
- Ponovno zažene procese zlonamerne programske opreme
- Zaustavi ali ponovno zažene sistem
Obvestilo o vtičniku
- Spremlja aktivna okna za občutljive ključne besede (npr. geslo, banka)
- Lahko sproži dejanja, kot so nepooblaščeni prenosi sredstev
PluginClipper
- Zamenja kopirane naslove denarnic za kriptovalute s tistimi, ki jih nadzoruje napadalec
Poleg tega PureRAT napadalcem ponuja:
- Keylogging
- Upravljanje oddaljenega namizja
- Dostop do datotek, registra, kamere, mikrofona in delujočih procesov
Večplastna okužba: več kot le PureRAT
Začetna izvršljiva datoteka prav tako ekstrahira StilKrip.exe, komercialni program za prenos, znan kot PureCrypter, ki je v obtoku od leta 2022. To orodje nato prenese sekundarno datoteko Bghwwhmlr.wav, ki sproži novo verigo izvajanja. To zaporedje na koncu zažene Ttcxxewxtly.exe, kar vodi do aktivacije Bftvbho.dll, osrednje komponente drugega seva zlonamerne programske opreme, znanega kot PureLogs.
PureLogs deluje kot močan kradljivec informacij. Ko je aktiven, tiho zbira širok nabor občutljivih podatkov, vključno s poverilnicami in uporabniškimi podatki iz spletnih brskalnikov, e-poštnih odjemalcev, storitev VPN in aplikacij za sporočanje. Namenjen je tudi upravljalnikom gesel, aplikacijam za kriptovalutne denarnice in široko uporabljenim orodjem za prenos datotek, kot sta FileZilla in WinSCP, kar napadalcem omogoča globok dostop do osebnih in organizacijskih podatkov.
Zaključek: E-pošta je še vedno najšibkejši člen
Kombinacija PureRAT in PureLogs ponuja kibernetskim kriminalcem obsežne zmogljivosti za vohunjenje, zbiranje in nadzor ogroženih sistemov. Stalna uporaba lažnih e-poštnih sporočil s škodljivimi prilogami ali povezavami ostaja glavna vstopna točka, kar poudarja kritično potrebo po robustnem filtriranju e-pošte in ozaveščenosti uporabnikov pri obrambi organizacij pred kibernetsko varnostjo.
