PureRAT Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, Rus kuruluşlarını hedef alan ve PureRAT olarak bilinen bir arka kapı kötü amaçlı yazılımı dağıtan büyük bir kimlik avı kampanyasını ortaya çıkardı. Kampanya Mart 2023'te başlamış olsa da, 2025'in başlarında dramatik bir artış gördü ve 2024'te aynı dönemde görülen saldırı sayısını dört katına çıkardı. Belirli bir tehdit aktörü tanımlanmamış olsa da, kullanılan yöntemler ve kötü amaçlı yazılımlar son derece koordineli bir operasyona işaret ediyor.
İçindekiler
Aldatıcı Teslimat: Saldırının Anatomisi
Saldırı, .RAR arşivi veya indirme bağlantısı içeren bir kimlik avı e-postasıyla başlar. Yanıltıcı çift uzantılarla (örneğin, doc_054_[redacted].pdf.rar) gizlenen arşiv, bir Microsoft Word veya PDF dosyasıymış gibi görünür. Kurban dosyayı açtığında, içindeki bir yürütülebilir dosya başlatılır.
Bu yürütülebilir dosya birkaç gizli eylem gerçekleştirir:
- Kendini %AppData%'ya task.exe olarak kopyalar
- Kalıcılık için Başlangıç klasöründe bir Task.vbs betiği oluşturur
- ckcfb.exe'yi çıkarır ve çalıştırır
Sırasıyla, ckcfb.exe şifresi çözülmüş bir modülü yürütmek için InstallUtil.exe'yi kullanmaya devam eder. Ayrıca birincil PureRAT yükünü içeren Spydgozoi.dll'yi şifresini çözer ve yükler.
Uzaktan Kumanda: PureRAT Ne Yapabilir?
Bir dayanak noktası elde ettikten sonra, PureRAT bir Komuta ve Kontrol (C2) sunucusuyla şifrelenmiş bir bağlantı kurar ve sistem bilgilerini iletir. Daha sonra aşağıdakiler gibi bozuk modülleri alabilir ve yürütebilir:
EklentiPCSeçeneği
- Kendini silme işlemini gerçekleştirir
- Kötü amaçlı yazılım işlemlerini yeniden başlatır
- Sistemi kapatır veya yeniden başlatır
EklentiPencereBildirimi
- Hassas anahtar sözcükler (örneğin, parola, banka) için etkin pencereleri izler
- Yetkisiz fon transferleri gibi eylemleri başlatabilir
EklentiKesici
- Kopyalanan kripto para cüzdan adreslerini saldırgan tarafından kontrol edilen adreslerle değiştirir
Ayrıca PureRAT saldırganlara şunları sağlar:
- Tuş Kaydı
- Uzak masaüstü kontrolü
- Dosyalara, kayıt defterine, kameraya, mikrofona ve çalışan işlemlere erişim
Katmanlı Enfeksiyon: PureRAT’tan Daha Fazlası
İlk yürütülebilir dosya ayrıca 2022'den beri dolaşımda olan PureCrypter olarak bilinen ticari bir indirici olan StilKrip.exe'yi de çıkarır. Bu araç, yeni bir yürütme zincirini tetikleyen ikincil bir dosya olan Bghwwhmlr.wav'ı indirmeye devam eder. Bu dizi en sonunda Ttcxxewxtly.exe'yi başlatır ve PureLogs olarak bilinen ikinci bir kötü amaçlı yazılım türünün çekirdek bileşeni olan Bftvbho.dll'nin etkinleştirilmesine yol açar.
PureLogs güçlü bir bilgi hırsızı olarak işlev görür. Etkinleştiğinde, kimlik bilgileri ve Web tarayıcılarından, e-posta istemcilerinden, VPN hizmetlerinden ve mesajlaşma uygulamalarından kullanıcı bilgileri de dahil olmak üzere çok çeşitli hassas verileri sessizce toplar. Ayrıca parola yöneticilerini, kripto para cüzdan uygulamalarını ve FileZilla ve WinSCP gibi yaygın olarak kullanılan dosya aktarım araçlarını hedef alarak saldırganlara hem kişisel hem de kurumsal verilere derin erişim sağlar.
Sonuç: E-posta Hala En Zayıf Halka
PureRAT ve PureLogs'un birleşimi, siber suçlulara tehlikeye atılmış sistemleri gözetlemek, toplamak ve kontrol etmek için kapsamlı yetenekler sunar. Zararlı ekler veya bağlantılar içeren kimlik avı e-postalarının sürekli kullanımı, kurumsal siber güvenlik savunmalarında sağlam e-posta filtreleme ve kullanıcı farkındalığına yönelik kritik ihtiyacı vurgulayarak birincil giriş noktası olmaya devam etmektedir.
