PureRAT மால்வேர்

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் ரஷ்ய நிறுவனங்களை குறிவைத்து ஒரு பெரிய ஃபிஷிங் பிரச்சாரத்தை கண்டுபிடித்துள்ளனர், இது PureRAT எனப்படும் பின்புற மால்வேரை வழங்குகிறது. இந்த பிரச்சாரம் மார்ச் 2023 இல் தொடங்கிய போதிலும், 2025 ஆம் ஆண்டின் தொடக்கத்தில் இது ஒரு வியத்தகு உயர்வைக் கண்டது, 2024 ஆம் ஆண்டில் இதே காலகட்டத்தில் காணப்பட்ட தாக்குதல்களின் எண்ணிக்கையை விட நான்கு மடங்கு அதிகரித்தது. குறிப்பிட்ட அச்சுறுத்தல் நாயகன் அடையாளம் காணப்படவில்லை என்றாலும், பயன்படுத்தப்படும் முறைகள் மற்றும் மால்வேர் மிகவும் ஒருங்கிணைந்த செயல்பாட்டைக் குறிக்கின்றன.

ஏமாற்றும் டெலிவரி: தாக்குதலின் உடற்கூறியல்

இந்தத் தாக்குதல் .RAR காப்பகம் அல்லது பதிவிறக்க இணைப்பைக் கொண்ட ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகிறது. தவறாக வழிநடத்தும் இரட்டை நீட்டிப்புகளுடன் (எ.கா., doc_054_[redacted].pdf.rar) மாறுவேடமிட்டு, காப்பகம் ஒரு Microsoft Word அல்லது PDF கோப்பாக நடிக்கிறது. பாதிக்கப்பட்டவர் கோப்பைத் திறந்தவுடன், உள்ளே ஒரு செயல்படுத்தக்கூடியது தொடங்கப்படும்.

இந்த இயங்கக்கூடியது பல ரகசிய செயல்களைச் செய்கிறது:

• task.exe ஆக %AppData% க்கு நகலெடுக்கிறது.
• நிலைத்தன்மைக்காக ஸ்டார்ட்அப் கோப்புறையில் ஒரு Task.vbs ஸ்கிரிப்டை உருவாக்குகிறது.
• ckcfb.exe ஐ பிரித்தெடுத்து இயக்குகிறது.

இதையொட்டி, ckcfb.exe ஆனது InstallUtil.exe ஐப் பயன்படுத்தி ஒரு மறைகுறியாக்கப்பட்ட தொகுதியை இயக்குகிறது. இது முதன்மை PureRAT பேலோடைக் கொண்ட Spydgozoi.dll ஐ மறைகுறியாக்கி ஏற்றுகிறது.

ரிமோட் கண்ட்ரோல்: PureRAT என்ன செய்ய முடியும்

ஒரு இடத்தைப் பிடித்த பிறகு, PureRAT ஒரு கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்துடன் ஒரு மறைகுறியாக்கப்பட்ட இணைப்பை நிறுவி, கணினித் தகவலை ரிலே செய்கிறது. பின்னர் இது சிதைந்த தொகுதிகளைப் பெற்று செயல்படுத்த முடியும், அவை:

செருகுநிரல் பிசி விருப்பம்

• சுய நீக்குதலைச் செயல்படுத்துகிறது
• தீம்பொருள் செயல்முறைகளை மீண்டும் தொடங்குகிறது
• கணினியை மூடுகிறது அல்லது மறுதொடக்கம் செய்கிறது

செருகுநிரல்சாளரம்அறிவிப்பு

• முக்கியமான முக்கிய வார்த்தைகளுக்கு (எ.கா. கடவுச்சொல், வங்கி) செயலில் உள்ள சாளரங்களைக் கண்காணிக்கிறது.
• அங்கீகரிக்கப்படாத நிதி பரிமாற்றங்கள் போன்ற நடவடிக்கைகளைத் தொடங்கலாம்

செருகுநிரல் கிளிப்பர்

• நகலெடுக்கப்பட்ட கிரிப்டோகரன்சி வாலட் முகவரிகளை தாக்குபவர் கட்டுப்படுத்தும் முகவரிகளுடன் மாற்றுகிறது.

கூடுதலாக, PureRAT தாக்குபவர்களுக்கு இவற்றை வழங்குகிறது:

• கீலாக்கிங்
• தொலைநிலை டெஸ்க்டாப் கட்டுப்பாடு
• கோப்புகள், பதிவகம், கேமரா, மைக்ரோஃபோன் மற்றும் இயங்கும் செயல்முறைகளுக்கான அணுகல்.

அடுக்கு தொற்று: PureRAT ஐ விட அதிகம்

ஆரம்ப இயங்கக்கூடியது 2022 முதல் புழக்கத்தில் உள்ள PureCrypter எனப்படும் வணிக பதிவிறக்கமான StilKrip.exe ஐயும் பிரித்தெடுக்கிறது. இந்த கருவி Bghwwhmlr.wav என்ற இரண்டாம் நிலை கோப்பைப் பதிவிறக்கத் தொடங்குகிறது, இது ஒரு புதிய செயல்படுத்தல் சங்கிலியைத் தூண்டுகிறது. இந்த வரிசை இறுதியில் Ttcxxewxtly.exe ஐத் தொடங்குகிறது, இது PureLogs எனப்படும் இரண்டாவது தீம்பொருள் வகையின் முக்கிய அங்கமான Bftvbho.dll ஐ செயல்படுத்த வழிவகுக்கிறது.

PureLogs ஒரு சக்திவாய்ந்த தகவல் திருடராக செயல்படுகிறது. செயல்பட்டவுடன், வலை உலாவிகள், மின்னஞ்சல் கிளையண்டுகள், VPN சேவைகள் மற்றும் செய்தியிடல் பயன்பாடுகளிலிருந்து சான்றுகள் மற்றும் பயனர் தகவல்கள் உட்பட பல்வேறு வகையான முக்கியமான தரவுகளை இது அமைதியாக சேகரிக்கிறது. இது கடவுச்சொல் மேலாளர்கள், கிரிப்டோகரன்சி வாலட் பயன்பாடுகள் மற்றும் FileZilla மற்றும் WinSCP போன்ற பரவலாகப் பயன்படுத்தப்படும் கோப்பு பரிமாற்ற கருவிகளையும் குறிவைக்கிறது, இது தாக்குபவர்களுக்கு தனிப்பட்ட மற்றும் நிறுவன தரவு இரண்டிற்கும் ஆழமான அணுகலை வழங்குகிறது.

முடிவு: மின்னஞ்சல் இன்னும் பலவீனமான இணைப்பு.

PureRAT மற்றும் PureLogs ஆகியவற்றின் கலவையானது, சைபர் குற்றவாளிகளுக்கு சமரசம் செய்யப்பட்ட அமைப்புகளை உளவு பார்க்கவும், சேகரிக்கவும் மற்றும் கட்டுப்படுத்தவும் விரிவான திறன்களை வழங்குகிறது. தீங்கு விளைவிக்கும் இணைப்புகள் அல்லது இணைப்புகளைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்களின் தொடர்ச்சியான பயன்பாடு முதன்மை நுழைவுப் புள்ளியாகத் தொடர்கிறது, இது நிறுவன சைபர் பாதுகாப்பு பாதுகாப்பில் வலுவான மின்னஞ்சல் வடிகட்டுதல் மற்றும் பயனர் விழிப்புணர்வுக்கான முக்கியமான தேவையை அடிக்கோடிட்டுக் காட்டுகிறது.