PureRAT 恶意软件
网络安全研究人员发现了一场针对俄罗斯组织的大规模网络钓鱼活动,该活动传播了一种名为 PureRAT 的后门恶意软件。尽管该活动始于 2023 年 3 月,但在 2025 年初急剧增加,攻击数量是 2024 年同期的四倍。虽然尚未确定具体的威胁行为者,但所使用的方法和恶意软件表明这是一场高度协调的行动。
目录
欺骗性投递:攻击剖析
攻击始于一封包含 .RAR 压缩包或下载链接的钓鱼邮件。该压缩包使用误导性的双扩展名(例如 doc_054_[redacted].pdf.rar)伪装成 Microsoft Word 或 PDF 文件。一旦受害者打开该文件,就会启动其中的可执行文件。
该可执行文件执行多项隐秘操作:
- 将自身复制到 %AppData% 并成为 task.exe
- 在 Startup 文件夹中创建 Task.vbs 脚本以实现持久性
- 提取并运行 ckcfb.exe
反过来,ckcfb.exe 继续使用 InstallUtil.exe 执行解密模块。它还会解密并加载包含主要 PureRAT 有效载荷的 Spydgozoi.dll。
远程控制:PureRAT 能做什么
站稳脚跟后,PureRAT 会与命令和控制 (C2) 服务器建立加密连接并传递系统信息。然后,它可以接收并执行损坏的模块,例如:
插件PC选项
- 执行自我删除
- 重新启动恶意软件进程
- 关闭或重启系统
插件窗口通知
- 监控活动窗口中的敏感关键词(例如密码、银行)
- 可以发起未经授权的资金转移等行动
插件剪辑器
- 将复制的加密货币钱包地址替换为攻击者控制的地址
此外,PureRAT 还为攻击者提供:
- 键盘记录
- 远程桌面控制
- 访问文件、注册表、摄像头、麦克风和正在运行的进程
分层感染:不仅仅是PureRAT
初始可执行文件还会提取 StilKrip.exe,这是一个名为 PureCrypter 的商业下载程序,自 2022 年以来一直在流传。该工具会继续下载第二个文件 Bghwwhmlr.wav,从而触发新的执行链。该序列最终会启动 Ttcxxewxtly.exe,从而激活 Bftvbho.dll,这是第二个恶意软件株 PureLogs 的核心组件。
PureLogs 是一款强大的信息窃取工具。一旦激活,它会悄无声息地收集各种敏感数据,包括来自 Web 浏览器、电子邮件客户端、VPN 服务和消息传递应用程序的凭证和用户信息。它还会攻击密码管理器、加密货币钱包应用程序以及 FileZilla 和 WinSCP 等广泛使用的文件传输工具,使攻击者能够深入访问个人和组织数据。
结论:电子邮件仍然是最薄弱的环节
PureRAT 和 PureLogs 的结合为网络犯罪分子提供了强大的监视、收集和控制受感染系统的能力。持续使用带有有害附件或链接的网络钓鱼电子邮件仍然是主要的切入点,这凸显了在组织网络安全防御中对强大的电子邮件过滤和用户意识的迫切需求。
