Malware PureRAT

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të madhe phishing që synonte organizatat ruse, duke shpërndarë një malware të fshehtë të njohur si PureRAT. Megjithëse fushata filloi në mars 2023, ajo pa një rritje dramatike në fillim të vitit 2025, duke katërfishuar numrin e sulmeve të vërejtura gjatë së njëjtës periudhë në vitin 2024. Ndërsa nuk është identifikuar asnjë aktor specifik kërcënimi, metodat dhe malware-i i përdorur tregojnë një operacion shumë të koordinuar.

Dorëzim Mashtrues: Anatomia e Sulmit

Sulmi fillon me një email phishing që përmban një arkiv .RAR ose një lidhje shkarkimi. I maskuar me zgjerime të dyfishta mashtruese (p.sh., doc_054_[redacted].pdf.rar), arkivi pretendon të jetë një skedar Microsoft Word ose PDF. Pasi viktima hap skedarin, hapet një skedar i ekzekutueshëm brenda tij.

Ky skedar ekzekutues kryen disa veprime të fshehta:

• Kopjon veten në %AppData% si task.exe
• Krijon një skript Task.vbs në dosjen Startup për qëndrueshmëri.
• Ekstrakton dhe ekzekuton ckcfb.exe

Nga ana tjetër, ckcfb.exe vazhdon të përdorë InstallUtil.exe për të ekzekutuar një modul të deshifruar. Ai gjithashtu deshifron dhe ngarkon Spydgozoi.dll, i cili përmban ngarkesën kryesore PureRAT.

Kontroll i Largët: Çfarë mund të bëjë PureRAT

Pasi fiton një pikëmbështetje, PureRAT krijon një lidhje të enkriptuar me një server Command-and-Control (C2) dhe transmeton informacionin e sistemit. Pastaj mund të marrë dhe ekzekutojë module të korruptuara, të tilla si:

PluginPcOption

• Ekzekuton vetë-fshirjen
• Rinis proceset e malware-it
• Fik ose rinis sistemin

PluginWindowNotify

• Monitoron dritaret aktive për fjalë kyçe të ndjeshme (p.sh., fjalëkalim, bankë)
• Mund të iniciojë veprime si transferime fondesh të paautorizuara

PluginClipper

• Zëvendëson adresat e kopjuara të portofoleve të kriptomonedhave me ato të kontrolluara nga sulmuesit

Për më tepër, PureRAT u ofron sulmuesve:

• Regjistrimi i tasteve
• Kontroll i largët i desktopit
• Qasje në skedarë, regjistër, kamerë, mikrofon dhe procese që ekzekutohen

Infeksion i Shtresuar: Më shumë sesa thjesht PureRAT

Skedari fillestar ekzekutues nxjerr gjithashtu StilKrip.exe, një shkarkues komercial i njohur si PureCrypter që ka qenë në qarkullim që nga viti 2022. Ky mjet vazhdon të shkarkojë një skedar dytësor, Bghwwhmlr.wav, i cili shkakton një zinxhir të ri ekzekutimi. Kjo sekuencë përfundimisht lëshon Ttcxxewxtly.exe, duke çuar në aktivizimin e Bftvbho.dll, përbërësi kryesor i një lloji të dytë malware të njohur si PureLogs.

PureLogs funksionon si një hajdut i fuqishëm informacioni. Pasi aktivizohet, ai mbledh në heshtje një gamë të gjerë të dhënash të ndjeshme, duke përfshirë kredencialet dhe informacionin e përdoruesit nga shfletuesit e internetit, klientët e email-it, shërbimet VPN dhe aplikacionet e mesazheve. Ai gjithashtu synon menaxherët e fjalëkalimeve, aplikacionet e portofoleve të kriptomonedhave dhe mjetet e përdorura gjerësisht të transferimit të skedarëve si FileZilla dhe WinSCP, duke u dhënë sulmuesve akses të thellë në të dhënat personale dhe organizative.

Përfundim: Email-i është ende lidhja më e dobët

Kombinimi i PureRAT dhe PureLogs u ofron kriminelëve kibernetikë aftësi të gjera për të spiunuar, mbledhur dhe kontrolluar sistemet e kompromentuara. Përdorimi i vazhdueshëm i emaileve phishing me bashkëngjitje ose lidhje të dëmshme vazhdon të jetë pika kryesore e hyrjes, duke nënvizuar nevojën kritike për filtrim të fuqishëm të emaileve dhe ndërgjegjësim të përdoruesve në mbrojtjet e sigurisë kibernetike të organizatave.