Шкідливе програмне забезпечення PureRAT
Дослідники з кібербезпеки виявили масштабну фішингову кампанію, спрямовану на російські організації, яка поширювала шкідливе програмне забезпечення з бекдором під назвою PureRAT. Хоча кампанія розпочалася в березні 2023 року, на початку 2025 року вона різко зросла, збільшивши кількість атак у чотири рази порівняно з аналогічним періодом 2024 року. Хоча конкретного порушника не було визначено, методи та використане шкідливе програмне забезпечення свідчать про високоскоординовану операцію.
Зміст
Оманлива доставка: Анатомія атаки
Атака починається з фішингового електронного листа, який містить архів .RAR або посилання для завантаження. Архів, замаскований під оманливі подвійні розширення (наприклад, doc_054_[відредаговано].pdf.rar), видає себе за файл Microsoft Word або PDF. Щойно жертва відкриває файл, запускається виконуваний файл усередині.
Цей виконуваний файл виконує кілька прихованих дій:
- Копіює себе в %AppData% як task.exe
- Створює скрипт Task.vbs у папці автозавантаження для збереження
- Розпаковує та запускає ckcfb.exe
У свою чергу, ckcfb.exe використовує InstallUtil.exe для виконання розшифрованого модуля. Він також розшифровує та завантажує Spydgozoi.dll, який містить основне корисне навантаження PureRAT.
Дистанційне керування: що може робити PureRAT
Після закріплення PureRAT встановлює зашифроване з'єднання із сервером командування та управління (C2) та передає системну інформацію. Потім він може отримувати та виконувати пошкоджені модулі, такі як:
Плагін для ПК
- Виконує самовидалення
- Перезапускає процеси шкідливого програмного забезпечення
- Вимикає або перезавантажує систему
ПлагінWindowNotify
- Відстежує активні вікна на наявність конфіденційних ключових слів (наприклад, пароль, банк)
- Може ініціювати такі дії, як несанкціоновані перекази коштів
ПлагінКліпер
- Замінює скопійовані адреси криптовалютних гаманців на адреси, контрольовані зловмисником
Крім того, PureRAT надає зловмисникам:
- Кейлоггер
- Віддалене керування робочим столом
- Доступ до файлів, реєстру, камери, мікрофона та запущених процесів
Багатошарова інфекція: більше, ніж просто PureRAT
Початковий виконуваний файл також витягує StilKrip.exe, комерційний завантажувач, відомий як PureCrypter, який поширюється з 2022 року. Цей інструмент завантажує вторинний файл Bghwwhmlr.wav, що запускає новий ланцюжок виконання. Ця послідовність зрештою запускає Ttcxxewxtly.exe, що призводить до активації Bftvbho.dll, основного компонента другого штаму шкідливого програмного забезпечення, відомого як PureLogs.
PureLogs функціонує як потужний викрадач інформації. Після активації він непомітно збирає широкий спектр конфіденційних даних, включаючи облікові дані та інформацію користувачів з веб-браузерів, поштових клієнтів, VPN-сервісів та програм обміну повідомленнями. Він також націлений на менеджери паролів, програми криптовалютних гаманців та широко використовувані інструменти передачі файлів, такі як FileZilla та WinSCP, надаючи зловмисникам глибокий доступ як до особистих, так і до організаційних даних.
Висновок: електронна пошта все ще найслабша ланка
Поєднання PureRAT та PureLogs надає кіберзлочинцям широкі можливості для шпигунства, збору та контролю скомпрометованих систем. Постійне використання фішингових електронних листів зі шкідливими вкладеннями або посиланнями продовжує бути основною точкою входу, що підкреслює критичну потребу в надійній фільтрації електронної пошти та обізнаності користувачів в організаційному кіберзахисті.
