PureRAT Malware

సైబర్ సెక్యూరిటీ పరిశోధకులు రష్యన్ సంస్థలను లక్ష్యంగా చేసుకుని ఒక పెద్ద ఫిషింగ్ ప్రచారాన్ని కనుగొన్నారు, ఇది PureRAT అని పిలువబడే బ్యాక్‌డోర్ మాల్వేర్‌ను అందిస్తుంది. ఈ ప్రచారం మార్చి 2023లో ప్రారంభమైనప్పటికీ, 2025 ప్రారంభంలో ఇది నాటకీయంగా పెరిగింది, 2024లో అదే కాలంలో చూసిన దాడుల సంఖ్య నాలుగు రెట్లు పెరిగింది. నిర్దిష్ట ముప్పు కలిగించే వ్యక్తిని గుర్తించనప్పటికీ, ఉపయోగించిన పద్ధతులు మరియు మాల్వేర్ అత్యంత సమన్వయంతో కూడిన ఆపరేషన్‌ను సూచిస్తున్నాయి.

మోసపూరిత డెలివరీ: దాడి యొక్క శరీర నిర్మాణ శాస్త్రం

ఈ దాడి .RAR ఆర్కైవ్ లేదా డౌన్‌లోడ్ లింక్‌ను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతుంది. తప్పుదారి పట్టించే డబుల్ ఎక్స్‌టెన్షన్‌లతో (ఉదా., doc_054_[redacted].pdf.rar) మారువేషంలో ఉన్న ఆర్కైవ్, మైక్రోసాఫ్ట్ వర్డ్ లేదా PDF ఫైల్ లాగా నటిస్తుంది. బాధితుడు ఫైల్‌ను తెరిచిన తర్వాత, లోపల ఒక ఎక్జిక్యూటబుల్ ప్రారంభించబడుతుంది.

ఈ ఎక్జిక్యూటబుల్ అనేక రహస్య చర్యలను చేస్తుంది:

• task.exe గా %AppData% కు కాపీ చేస్తుంది.
• నిలకడ కోసం స్టార్టప్ ఫోల్డర్‌లో Task.vbs స్క్రిప్ట్‌ను సృష్టిస్తుంది.
• ckcfb.exe ను సంగ్రహించి అమలు చేస్తుంది

ప్రతిగా, ckcfb.exe డీక్రిప్ట్ చేయబడిన మాడ్యూల్‌ను అమలు చేయడానికి InstallUtil.exeని ఉపయోగిస్తుంది. ఇది ప్రాథమిక PureRAT పేలోడ్‌ను కలిగి ఉన్న Spydgozoi.dllని కూడా డీక్రిప్ట్ చేసి లోడ్ చేస్తుంది.

రిమోట్ కంట్రోల్: PureRAT ఏమి చేయగలదు

పట్టు సాధించిన తర్వాత, PureRAT కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో ఎన్‌క్రిప్టెడ్ కనెక్షన్‌ను ఏర్పాటు చేస్తుంది మరియు సిస్టమ్ సమాచారాన్ని రిలే చేస్తుంది. అప్పుడు ఇది పాడైన మాడ్యూళ్ళను స్వీకరించగలదు మరియు అమలు చేయగలదు, అవి:

ప్లగిన్ పిసిఆప్షన్

• స్వీయ తొలగింపును అమలు చేస్తుంది
• మాల్వేర్ ప్రక్రియలను పునఃప్రారంభిస్తుంది
• సిస్టమ్‌ను షట్ డౌన్ చేస్తుంది లేదా రీబూట్ చేస్తుంది

ప్లగిన్విండోనోటిఫై

• సున్నితమైన కీలకపదాల కోసం క్రియాశీల విండోలను పర్యవేక్షిస్తుంది (ఉదా., పాస్‌వర్డ్, బ్యాంక్)
• అనధికార నిధుల బదిలీల వంటి చర్యలను ప్రారంభించవచ్చు

ప్లగిన్ క్లిప్పర్

• కాపీ చేసిన క్రిప్టోకరెన్సీ వాలెట్ చిరునామాలను దాడి చేసేవారి నియంత్రణలో ఉన్న వాటితో భర్తీ చేస్తుంది.

అదనంగా, PureRAT దాడి చేసేవారికి వీటిని అందిస్తుంది:

• కీలాగింగ్
• రిమోట్ డెస్క్‌టాప్ నియంత్రణ
• ఫైల్స్, రిజిస్ట్రీ, కెమెరా, మైక్రోఫోన్ మరియు నడుస్తున్న ప్రక్రియలకు యాక్సెస్

లేయర్డ్ ఇన్ఫెక్షన్: PureRAT కంటే ఎక్కువ

ప్రారంభ ఎక్జిక్యూటబుల్ 2022 నుండి చెలామణిలో ఉన్న ప్యూర్‌క్రిప్టర్ అని పిలువబడే వాణిజ్య డౌన్‌లోడ్ అయిన StilKrip.exe ను కూడా సంగ్రహిస్తుంది. ఈ సాధనం Bghwwhmlr.wav అనే ద్వితీయ ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి కొనసాగుతుంది, ఇది కొత్త అమలు గొలుసును ప్రేరేపిస్తుంది. ఈ క్రమం చివరికి Ttcxxewxtly.exe ను ప్రారంభిస్తుంది, ఇది PureLogs అని పిలువబడే రెండవ మాల్వేర్ జాతి యొక్క ప్రధాన భాగం అయిన Bftvbho.dll యొక్క క్రియాశీలతకు దారితీస్తుంది.

PureLogs శక్తివంతమైన సమాచార దొంగగా పనిచేస్తుంది. ఒకసారి యాక్టివ్ అయిన తర్వాత, ఇది వెబ్ బ్రౌజర్‌లు, ఇమెయిల్ క్లయింట్‌లు, VPN సేవలు మరియు మెసేజింగ్ అప్లికేషన్‌ల నుండి ఆధారాలు మరియు వినియోగదారు సమాచారంతో సహా విస్తృత శ్రేణి సున్నితమైన డేటాను నిశ్శబ్దంగా సేకరిస్తుంది. ఇది పాస్‌వర్డ్ మేనేజర్‌లు, క్రిప్టోకరెన్సీ వాలెట్ అప్లికేషన్‌లు మరియు FileZilla మరియు WinSCP వంటి విస్తృతంగా ఉపయోగించే ఫైల్ బదిలీ సాధనాలను కూడా లక్ష్యంగా చేసుకుంటుంది, దాడి చేసేవారికి వ్యక్తిగత మరియు సంస్థాగత డేటా రెండింటికీ లోతైన యాక్సెస్‌ను ఇస్తుంది.

ముగింపు: ఇమెయిల్ ఇప్పటికీ బలహీనమైన లింక్

PureRAT మరియు PureLogs కలయిక సైబర్ నేరస్థులకు రాజీపడిన వ్యవస్థలను గూఢచర్యం చేయడానికి, సేకరించడానికి మరియు నియంత్రించడానికి విస్తృతమైన సామర్థ్యాలను అందిస్తుంది. హానికరమైన అటాచ్‌మెంట్‌లు లేదా లింక్‌లతో కూడిన ఫిషింగ్ ఇమెయిల్‌ల నిరంతర ఉపయోగం ప్రాథమిక ఎంట్రీ పాయింట్‌గా కొనసాగుతోంది, ఇది సంస్థాగత సైబర్ భద్రతా రక్షణలలో బలమైన ఇమెయిల్ ఫిల్టరింగ్ మరియు వినియోగదారు అవగాహన యొక్క కీలకమైన అవసరాన్ని నొక్కి చెబుతుంది.