Злонамерни софтвер PureRAT
Истраживачи сајбер безбедности открили су велику фишинг кампању усмерену на руске организације, која је испоручила малвер познат као PureRAT. Иако је кампања почела у марту 2023. године, доживела је драматичан пораст почетком 2025. године, учетворостручивши број напада виђених током истог периода 2024. године. Иако није идентификован конкретан претња, методе и коришћени малвер указују на високо координисану операцију.
Преглед садржаја
Обмањујућа достава: Анатомија напада
Напад почиње фишинг имејлом који садржи .RAR архиву или линк за преузимање. Маскирана обмањујућим двоструким екстензијама (нпр. doc_054_[redigovano].pdf.rar), архива се претвара да је Microsoft Word или PDF датотека. Када жртва отвори датотеку, покреће се извршна датотека унутра.
Овај извршни програм обавља неколико прикривених радњи:
- Копира се у %AppData% као task.exe
- Креира скрипту Task.vbs у фолдеру Startup ради трајности
- Распакује и покреће ckcfb.exe
Заузврат, ckcfb.exe наставља да користи InstallUtil.exe за извршавање дешифрованог модула. Такође дешифрује и учитава Spydgozoi.dll, који садржи примарни PureRAT садржај.
Даљински управљач: Шта PureRAT може да уради
Након што се учврсти, PureRAT успоставља шифровану везу са командно-контролним (C2) сервером и преноси системске информације. Затим може да прима и извршава оштећене модуле, као што су:
Опција додатка за рачунар
- Извршава самобрисање
- Поново покреће процесе злонамерног софтвера
- Искључује или поново покреће систем
Обавештавање о прозору додатка
- Прати активне прозоре за осетљиве кључне речи (нпр. лозинка, банка)
- Може покренути радње попут неовлашћених трансфера средстава
PluginClipper
- Замењује копиране адресе крипто новчаника онима које контролише нападач
Поред тога, PureRAT пружа нападачима:
- Регистрација кључева
- Удаљена контрола радне површине
- Приступ датотекама, регистру, камери, микрофону и покренутим процесима
Слојевита инфекција: Више од самог PureRAT-а
Почетни извршни фајл такође распакује StilKrip.exe, комерцијални програм за преузимање познат као PureCrypter који је у оптицају од 2022. године. Овај алат наставља са преузимањем секундарне датотеке, Bghwwhmlr.wav, што покреће нови ланац извршавања. Ова секвенца на крају покреће Ttcxxewxtly.exe, што доводи до активације Bftvbho.dll, основне компоненте другог соја малвера познатог као PureLogs.
PureLogs функционише као моћан крађа информација. Када је активан, он тихо прикупља широк спектар осетљивих података, укључујући акредитиве и корисничке информације из веб прегледача, имејл клијената, VPN сервиса и апликација за размену порука. Такође циља менаџере лозинки, апликације за криптовалутне новчанике и широко коришћене алате за пренос датотека као што су FileZilla и WinSCP, дајући нападачима дубок приступ и личним и организационим подацима.
Закључак: Е-пошта је и даље најслабија карика
Комбинација PureRAT-а и PureLogs-а нуди сајбер криминалцима широке могућности за шпијунирање, прикупљање и контролу компромитованих система. Континуирана употреба фишинг имејлова са штетним прилозима или линковима и даље је примарна улазна тачка, што наглашава критичну потребу за робусним филтрирањем имејлова и свешћу корисника у организационој сајбер безбедносној одбрани.
