PureRAT-Malware: Was hinter raffinierten Phishing-Angriffen steckt

Was ist PureRAT und warum macht es Schlagzeilen?

PureRAT ist ein Remote-Access-Trojaner (RAT), der aufgrund eines starken Anstiegs von Phishing-Angriffen auf russische Organisationen für Aufsehen gesorgt hat. Die Malware wurde erstmals Anfang 2023 entdeckt und blieb bis Anfang 2025 unbemerkt im Hintergrund aktiv.

Die Identität der Täter ist unbekannt, die Angriffsmethode jedoch nur allzu bekannt: Eine Phishing-E-Mail enthält entweder ein RAR-Archiv oder einen Link dazu, geschickt getarnt als harmloses Microsoft Word- oder PDF-Dokument . Diese irreführenden Dateinamen verwenden oft doppelte Erweiterungen (z. B. .pdf.rar), um Benutzer zum Öffnen zu verleiten, da sie glauben, es handele sich um einen gängigen Dateityp.

Wie der Angriff abläuft: Eine mehrschichtige Übermittlungsmethode

Nach dem Öffnen enthält das Archiv eine ausführbare Datei. Führt das Opfer diese aus, installiert sich die Malware unbemerkt auf dem Windows-System und kopiert sich unter dem Namen „task.exe“ in den AppData-Ordner. Von dort legt sie ein Visual Basic-Skript im Autostart-Ordner des Systems ab, um sicherzustellen, dass es bei jedem Neustart des Rechners ausgeführt wird.

Diese erste Nutzlast entpackt eine weitere Datei namens „ckcfb.exe“, die mithilfe des legitimen Windows-Tools „InstallUtil.exe“ die nächste Stufe der Malware einschleust. Dabei wird eine Schlüsseldatei namens „Spydgozoi.dll“ entschlüsselt und ausgeführt, wodurch die Haupt-Backdoor von PureRAT geöffnet wird.

Funktionen, die über einfache Überwachung hinausgehen

PureRAT ist nicht nur eine Hintertür, sondern ein multifunktionales Spionagetool. Es stellt sofort eine sichere SSL-Verbindung mit seinem Command-and-Control-Server (C2) her. Es sendet Systemdetails an den Angreifer zurück, wie beispielsweise die verwendete Antivirensoftware, den Computernamen und die Betriebszeit. Sobald die Verbindung aktiv ist, kann die Malware verschiedene Module herunterladen und aktivieren, um ihre Funktionalität zu erweitern.

Diese Module umfassen:

  • PluginPcOption : Ermöglicht der Malware, sich selbst zu löschen, ihre Vorgänge neu zu starten oder ein Herunterfahren/Neustarten des Systems zu erzwingen.
  • PluginWindowNotify : Überwacht geöffnete Fenster auf Schlüsselwörter wie „Passwort“ oder „Bank“ und ermöglicht so möglicherweise eine Echtzeitüberwachung oder Umleitung.
  • PluginClipper : Fungiert als Clipboard-Hijacker und ersetzt alle kopierten Kryptowährungs-Wallet-Adressen durch eine vom Angreifer kontrollierte Adresse.

Mehr als nur ein RAT: PureCrypter und PureLogs

Die Komplexität endet nicht mit PureRAT. Die ursprüngliche ausführbare Datei setzt auch eine weitere Komponente namens „StilKrip.exe“ ein. Dabei handelt es sich nicht um von Grund auf neu entwickelte Malware, sondern um einen kommerziell erhältlichen Downloader namens PureCrypter , der seit 2022 aktiv ist und häufig in kriminellen Kampagnen verwendet wird, um zusätzliche Bedrohungen zu platzieren.

PureCrypter ruft eine Datei namens „Bghwwhmlr.wav“ ab und führt sie aus. Diese setzt die Kette fort, indem sie InstallUtil.exe erneut aufruft. Dies führt schließlich zur Ausführung einer Datei namens „Ttcxxewxtly.exe“, die eine letzte Nutzlast extrahiert: den PureLogs-Stealer.

PureLogs ist ein umfassendes Tool zur Informationserfassung, das Browser, E-Mail-Clients, VPN-Apps, Passwortmanager und Kryptowährungs-Wallets scannt. Es kann sogar Anmeldeinformationen von FTP-Clients wie FileZilla und WinSCP sammeln.

Auswirkungen auf Organisationen und Cyberabwehr

Was PureRAT auszeichnet, ist seine modulare Struktur und seine unauffällige Persistenz. Es handelt sich nicht nur um eine Infektion, sondern um eine Plattform, die Angreifern nahezu vollständige Kontrolle über ein kompromittiertes System bietet. Von der Überwachung von Tastatureingaben und der Steuerung von Webcams bis hin zum unbemerkten Daten-Mining ermöglicht die Malware ein breites Spektrum an Cyberspionage-Aktivitäten.

Für Unternehmen, insbesondere in Branchen mit sensiblen Daten, erhöht dies nicht nur das Risiko von Datendiebstahl, sondern auch das Risiko potenzieller Betriebsunterbrechungen. Ein kompromittiertes System kann wochen- oder monatelang unentdeckt bleiben, sodass Angreifer kontinuierlich wertvolle Informationen abschöpfen können.

Verteidigung gegen den unsichtbaren Eindringling

Der primäre Einstiegspunkt für PureRAT sind nach wie vor Phishing-E-Mails. Dies unterstreicht die dringende Notwendigkeit robuster E-Mail-Sicherheitsprotokolle, Benutzerschulungen und Lösungen zum Schutz von Endgeräten. Unternehmen sollten sich auf die Überwachung ungewöhnlicher Aktivitäten, die Implementierung einer Multi-Faktor-Authentifizierung und die Aktualisierung von Systemen und Software konzentrieren.

Cybersicherheitsexperten empfehlen außerdem die Sandbox-Erkennung von E-Mail-Anhängen und die Implementierung von Verhaltenserkennungstechniken, die Malware auch dann erkennen können, wenn sie legitime Systemtools wie InstallUtil.exe verwendet, um ihre Spuren zu verwischen.

Ein Weckruf, kein Grund zur Panik

Der Aufstieg von PureRAT und den zugehörigen Komponenten wie PureCrypter und PureLogs signalisiert eine Weiterentwicklung der Malware-Taktiken – eine Kombination aus Social Engineering, legitimen Tools und Standardkomponenten zu einer potenten Bedrohung. Mit Bewusstsein, Vorbereitung und der richtigen Sicherheitsstrategie können sich Unternehmen jedoch wirksam gegen diese komplexen Bedrohungen schützen. Ziel ist nicht, Angst zu schüren, sondern Wachsamkeit und fundiertes Handeln angesichts immer ausgefeilterer Cyber-Kampagnen zu fördern.

Bis Willa
May 22, 2025
Trojan
Deutsch
May 22, 2025
Trojan

Beliebte Beiträge

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 1 month

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 12 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 8 months

PayPal – Sie haben eine neue Adresse hinzugefügt – E-Mail-Betrug

vor 3 months

Omega Ad Blocker: Eine irreführende Erweiterung, die als...

vor 3 months

Die Bedrohung durch W32.AIDetectMalware verstehen und eindämmen

vor 10 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.