Rabattoffert för flera licenser
Hotdatabas Skadlig programvara PureRAT-skadlig programvara

PureRAT-skadlig programvara

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg
Översätt till:

Cybersäkerhetsforskare har avslöjat en omfattande nätfiskekampanj riktad mot ryska organisationer, som levererade en bakdörrsskadlig programvara som kallas PureRAT. Trots att kampanjen började i mars 2023 såg den en dramatisk ökning i början av 2025, vilket fyrdubblade antalet attacker som observerades under samma period 2024. Även om ingen specifik hotaktör har identifierats, tyder metoderna och skadlig programvaran som använts på en mycket samordnad operation.

Bedräglig leverans: Attackens anatomi

Attacken inleds med ett nätfiskemejl som innehåller ett .RAR-arkiv eller en nedladdningslänk. Förklätt med vilseledande dubbla filändelser (t.ex. doc_054_[redacted].pdf.rar) låtsas arkivet vara en Microsoft Word- eller PDF-fil. När offret öppnar filen startas en körbar fil inuti.

Denna körbara program utför flera dolda åtgärder:

  • Kopierar sig själv till %AppData% som task.exe
  • Skapar ett Task.vbs-skript i startmappen för beständighet
  • Extraherar och kör ckcfb.exe

I sin tur fortsätter ckcfb.exe att använda InstallUtil.exe för att köra en dekrypterad modul. Den dekrypterar och laddar även Spydgozoi.dll, som innehåller den primära PureRAT-nyttolasten.

Fjärrkontroll: Vad PureRAT kan göra

Efter att ha fått fotfäste upprättar PureRAT en krypterad anslutning med en kommando-och-kontrollserver (C2) och vidarebefordrar systeminformation. Den kan sedan ta emot och köra korrupta moduler, såsom:

PluginPcAlternativ

  • Utför självradering
  • Startar om skadlig kod-processer
  • Stänger av eller startar om systemet

PluginFönsterMeddela

  • Övervakar aktiva fönster för känsliga nyckelord (t.ex. lösenord, bank)
  • Kan initiera åtgärder som obehöriga överföringar av medel

PluginClipper

  • Ersätter kopierade kryptovalutaplånboksadresser med attackerstyrda adresser

Dessutom ger PureRAT angripare:

  • Keylogging
  • Fjärrstyrning av skrivbord
  • Åtkomst till filer, registret, kameran, mikrofonen och pågående processer

Skiktinfektion: Mer än bara PureRAT

Den initiala körbara filen extraherar också StilKrip.exe, en kommersiell nedladdningsfil känd som PureCrypter som har funnits i omlopp sedan 2022. Verktyget laddar ner en sekundär fil, Bghwwhmlr.wav, vilket utlöser en ny exekveringskedja. Denna sekvens startar slutligen Ttcxxewxtly.exe, vilket leder till aktiveringen av Bftvbho.dll, kärnkomponenten i en andra skadlig kodstam känd som PureLogs.

PureLogs fungerar som en kraftfull informationstjuv. När den är aktiv samlar den i tysthet in en mängd olika känsliga data, inklusive inloggningsuppgifter och användarinformation från webbläsare, e-postklienter, VPN-tjänster och meddelandeprogram. Den riktar sig även mot lösenordshanterare, kryptovalutaplånböcker och allmänt använda filöverföringsverktyg som FileZilla och WinSCP, vilket ger angripare djupgående åtkomst till både personliga och organisatoriska data.

Slutsats: E-post är fortfarande den svagaste länken

Kombinationen av PureRAT och PureLogs erbjuder cyberbrottslingar omfattande möjligheter att spionera, samla in och kontrollera komprometterade system. Den pågående användningen av nätfiskemejl med skadliga bilagor eller länkar fortsätter att vara den primära ingångspunkten, vilket understryker det kritiska behovet av robust e-postfiltrering och användarmedvetenhet i organisatoriska cybersäkerhetsförsvar.

Trendigt

Mest sedda

Läser in...