มัลแวร์ PureRAT
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญฟิชชิ่งขนาดใหญ่ที่กำหนดเป้าหมายองค์กรของรัสเซีย โดยส่งมัลแวร์แบ็คดอร์ที่รู้จักกันในชื่อ PureRAT แม้ว่าแคมเปญดังกล่าวจะเริ่มขึ้นในเดือนมีนาคม 2023 แต่กลับเพิ่มขึ้นอย่างมากในช่วงต้นปี 2025 โดยมีจำนวนการโจมตีเพิ่มขึ้นเป็นสี่เท่าในช่วงเวลาเดียวกันของปี 2024 แม้ว่าจะยังไม่ได้ระบุผู้ก่อภัยคุกคามโดยเฉพาะ แต่วิธีการและมัลแวร์ที่ใช้บ่งชี้ถึงการทำงานที่ประสานงานกันอย่างดีเยี่ยม
สารบัญ
การส่งมอบที่หลอกลวง: กายวิภาคของการโจมตี
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่มีไฟล์เก็บถาวร .RAR หรือลิงก์ดาวน์โหลด ไฟล์เก็บถาวรนี้ปลอมแปลงด้วยนามสกุลไฟล์ 2 นามสกุลที่ทำให้เข้าใจผิด (เช่น doc_054_[redacted].pdf.rar) โดยแอบอ้างว่าเป็นไฟล์ Microsoft Word หรือ PDF เมื่อเหยื่อเปิดไฟล์ดังกล่าว ไฟล์ปฏิบัติการภายในก็จะถูกเรียกใช้งาน
ไฟล์ปฏิบัติการนี้ดำเนินการอย่างแอบซ่อนหลายอย่าง:
- คัดลอกตัวเองไปยัง %AppData% เป็น task.exe
- สร้างสคริปต์ Task.vbs ในโฟลเดอร์ Startup เพื่อการคงอยู่
- แตกไฟล์และรัน ckcfb.exe
ในทางกลับกัน ckcfb.exe จะดำเนินการใช้ InstallUtil.exe เพื่อดำเนินการโมดูลที่ถอดรหัสแล้ว นอกจากนี้ยังถอดรหัสและโหลด Spydgozoi.dll ซึ่งประกอบด้วยเพย์โหลดหลักของ PureRAT
รีโมตคอนโทรล: PureRAT ทำอะไรได้บ้าง
หลังจากได้จุดยืนแล้ว PureRAT จะสร้างการเชื่อมต่อแบบเข้ารหัสกับเซิร์ฟเวอร์ Command-and-Control (C2) และส่งต่อข้อมูลระบบ จากนั้นจึงสามารถรับและดำเนินการโมดูลที่เสียหาย เช่น:
ปลั๊กอิน PcOption
- ดำเนินการลบข้อมูลด้วยตนเอง
- เริ่มกระบวนการมัลแวร์ใหม่อีกครั้ง
- ปิดระบบหรือรีบูตระบบ
ปลั๊กอิน Window Notify
- ตรวจสอบหน้าต่างที่ใช้งานอยู่สำหรับคำสำคัญที่ละเอียดอ่อน (เช่น รหัสผ่าน ธนาคาร)
- สามารถเริ่มดำเนินการเช่นการโอนเงินที่ไม่ได้รับอนุญาต
ปลั๊กอินคลิปเปอร์
- แทนที่ที่อยู่กระเป๋าเงินสกุลเงินดิจิทัลที่คัดลอกด้วยที่อยู่ที่ถูกควบคุมโดยผู้โจมตี
นอกจากนี้ PureRAT ยังมอบสิ่งต่อไปนี้ให้แก่ผู้โจมตี:
- การบันทึกคีย์ข้อมูล
- การควบคุมเดสก์ท็อประยะไกล
- การเข้าถึงไฟล์ รีจิสทรี กล้อง ไมโครโฟน และกระบวนการที่กำลังทำงาน
การติดเชื้อแบบหลายชั้น: มากกว่าแค่ PureRAT
ไฟล์ปฏิบัติการเริ่มต้นยังแยก StilKrip.exe ซึ่งเป็นโปรแกรมดาวน์โหลดเชิงพาณิชย์ที่รู้จักกันในชื่อ PureCrypter ที่เผยแพร่ตั้งแต่ปี 2022 เครื่องมือนี้ดำเนินการดาวน์โหลดไฟล์รอง Bghwwhmlr.wav ซึ่งจะกระตุ้นชุดการดำเนินการใหม่ ลำดับนี้จะเปิดตัว Ttcxxewxtly.exe ในท้ายที่สุด ส่งผลให้ Bftvbho.dll ซึ่งเป็นส่วนประกอบหลักของมัลแวร์สายพันธุ์ที่สองที่รู้จักกันในชื่อ PureLogs เปิดใช้งาน
PureLogs ทำหน้าที่เป็นตัวขโมยข้อมูลอันทรงพลัง เมื่อเปิดใช้งานแล้ว มันจะรวบรวมข้อมูลสำคัญต่างๆ อย่างเงียบๆ มากมาย รวมถึงข้อมูลประจำตัวและข้อมูลผู้ใช้จากเว็บเบราว์เซอร์ ไคลเอนต์อีเมล บริการ VPN และแอปพลิเคชันการส่งข้อความ นอกจากนี้ยังกำหนดเป้าหมายไปที่โปรแกรมจัดการรหัสผ่าน แอปพลิเคชันกระเป๋าเงินสกุลเงินดิจิทัล และเครื่องมือถ่ายโอนไฟล์ที่ใช้กันอย่างแพร่หลาย เช่น FileZilla และ WinSCP ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัวและองค์กรได้อย่างล้ำลึก
สรุป: อีเมล์ยังคงเป็นจุดอ่อนที่สุด
การผสมผสานระหว่าง PureRAT และ PureLogs ช่วยให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถสอดส่อง รวบรวม และควบคุมระบบที่ถูกบุกรุกได้อย่างครอบคลุม การใช้อีเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตรายยังคงเป็นจุดเข้าหลัก ซึ่งเน้นย้ำถึงความจำเป็นอย่างยิ่งในการกรองอีเมลที่แข็งแกร่งและการรับรู้ของผู้ใช้ในการป้องกันความปลอดภัยทางไซเบอร์ขององค์กร
