PureRAT Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang pangunahing kampanya sa phishing na nagta-target sa mga organisasyong Ruso, na naghahatid ng backdoor malware na kilala bilang PureRAT. Bagama't nagsimula ang campaign noong Marso 2023, nagkaroon ito ng matinding pag-unlad noong unang bahagi ng 2025, na pinalaki ng apat na beses ang bilang ng mga pag-atake na nakita sa parehong panahon noong 2024. Bagama't walang natukoy na partikular na banta ng aktor, ang mga pamamaraan at malware na ginamit ay nagpapahiwatig ng lubos na koordinadong operasyon.

Mapanlinlang na Paghahatid: Ang Anatomya ng Pag-atake

Ang pag-atake ay nagsisimula sa isang phishing na email na naglalaman ng isang .RAR archive o isang link sa pag-download. Nakatago sa mapanlinlang na double extension (hal., doc_054_[redacted].pdf.rar), ang archive ay nagpapanggap na isang Microsoft Word o PDF file. Kapag binuksan ng biktima ang file, inilunsad ang isang executable sa loob.

Ang executable na ito ay nagsasagawa ng ilang palihim na pagkilos:

• Kinokopya ang sarili sa %AppData% bilang task.exe
• Lumilikha ng script ng Task.vbs sa folder ng Startup para sa pagtitiyaga
• Kinukuha at pinapatakbo ang ckcfb.exe

Sa turn, ang ckcfb.exe ay nagpapatuloy sa paggamit ng InstallUtil.exe upang magsagawa ng isang naka-decrypt na module. Dini-decrypt at nilo-load din nito ang Spydgozoi.dll, na naglalaman ng pangunahing PureRAT payload.

Remote Control: Ano ang magagawa ng PureRAT

Pagkatapos magkaroon ng foothold, ang PureRAT ay nagtatatag ng naka-encrypt na koneksyon sa isang Command-and-Control (C2) server at nagre-relay ng impormasyon ng system. Pagkatapos ay maaari itong tumanggap at magsagawa ng mga sirang module, tulad ng:

PluginPcOption

• Nagsasagawa ng self-delete
• I-restart ang mga proseso ng malware
• Isinasara o nire-reboot ang system

PluginWindowNotify

• Sinusubaybayan ang mga aktibong window para sa mga sensitibong keyword (hal., password, bangko)
• Maaaring magsimula ng mga aksyon tulad ng hindi awtorisadong paglilipat ng pondo

PluginClipper

• Pinapalitan ang mga kinopyang cryptocurrency wallet address ng mga address na kontrolado ng attacker

Bilang karagdagan, ang PureRAT ay nagbibigay sa mga umaatake ng:

• Keylogging
• Remote na kontrol sa desktop
• Access sa mga file, registry, camera, mikropono at mga prosesong tumatakbo

Layered Infection: Higit pa sa PureRAT

Kinukuha din ng inisyal na executable ang StilKrip.exe, isang komersyal na downloader na kilala bilang PureCrypter na nasa sirkulasyon mula noong 2022. Ang tool na ito ay nagpapatuloy sa pag-download ng pangalawang file, Bghwwhmlr.wav, na nagti-trigger ng bagong execution chain. Ang sequence na ito sa huli ay naglulunsad ng Ttcxxewxtly.exe, na humahantong sa pag-activate ng Bftvbho.dll, ang pangunahing bahagi ng pangalawang strain ng malware na kilala bilang PureLogs.

Ang PureLogs ay gumagana bilang isang malakas na magnanakaw ng impormasyon. Kapag aktibo na, tahimik itong kumukuha ng malawak na hanay ng sensitibong data, kabilang ang mga kredensyal at impormasyon ng user mula sa mga Web browser, email client, serbisyo ng VPN at mga application sa pagmemensahe. Tina-target din nito ang mga tagapamahala ng password, mga application ng cryptocurrency wallet, at malawakang ginagamit na mga tool sa paglilipat ng file gaya ng FileZilla at WinSCP, na nagbibigay ng malalim na access sa mga umaatake sa parehong personal at data ng organisasyon.

Konklusyon: Email Still the Weakest Link

Ang kumbinasyon ng PureRAT at PureLogs ay nag-aalok ng mga cybercriminal ng malawak na kakayahan upang maniktik, mangolekta at kontrolin ang mga nakompromisong sistema. Ang patuloy na paggamit ng mga email sa phishing na may mga nakakapinsalang attachment o link ay patuloy na pangunahing entry point, na binibigyang-diin ang kritikal na pangangailangan para sa matatag na pag-filter ng email at kamalayan ng user sa mga panlaban sa cybersecurity ng organisasyon.