Logiciel malveillant PureRAT : ce qui se cache derrière les attaques de phishing sophistiquées

Qu'est-ce que PureRAT et pourquoi fait-il la une des journaux ?

PureRAT est un cheval de Troie d'accès à distance (RAT) qui a attiré l'attention pour être au cœur d'une forte augmentation des attaques de phishing ciblant les organisations russes. Observé pour la première fois début 2023, ce malware est resté discrètement en arrière-plan jusqu'au début 2025.

Si l'identité des auteurs reste inconnue, la méthode d'attaque est bien connue : un e-mail de phishing contenant soit une archive RAR, soit un lien vers une archive RAR, habilement déguisé pour ressembler à un document Microsoft Word ou PDF inoffensif. Ces noms de fichiers trompeurs utilisent souvent une double extension (par exemple, .pdf.rar) pour inciter les utilisateurs à les ouvrir, croyant qu'ils interagissent avec un type de fichier courant.

Comment l'attaque se déroule : une méthode de diffusion à plusieurs niveaux

Une fois ouverte, l'archive contient un fichier exécutable. Lorsque la victime l'exécute, le logiciel malveillant s'installe discrètement sur le système Windows et se copie dans le dossier AppData sous le nom « task.exe ». De là, il dépose un script Visual Basic dans le dossier de démarrage du système pour garantir son exécution à chaque redémarrage de la machine.

Cette charge utile initiale décompresse un autre fichier nommé « ckcfb.exe », qui utilise un outil Windows légitime, InstallUtil.exe, pour injecter la phase suivante du malware. À ce stade, un fichier clé appelé « Spydgozoi.dll » est déchiffré et exécuté, débloquant la porte dérobée principale de PureRAT.

Des capacités au-delà de la simple surveillance

PureRAT n'est pas seulement une porte dérobée : c'est un outil d'espionnage multifonction. Il établit immédiatement une connexion SSL sécurisée avec son serveur de commande et de contrôle (C2). Il renvoie à l'attaquant des informations système, telles que le logiciel antivirus utilisé, le nom de l'ordinateur et sa disponibilité. Une fois la connexion établie, le malware peut télécharger et activer divers modules pour étendre ses fonctionnalités.

Ces modules comprennent :

  • PluginPcOption : Permet au malware de se supprimer, de redémarrer ses opérations ou de forcer un arrêt/redémarrage du système.
  • PluginWindowNotify : surveille les fenêtres ouvertes pour des mots-clés tels que « mot de passe » ou « banque », permettant potentiellement une surveillance ou une redirection en temps réel.
  • PluginClipper : agit comme un pirate de presse-papiers, remplaçant toute adresse de portefeuille de crypto-monnaie copiée par une adresse contrôlée par l'attaquant.

Plus qu'un simple RAT : PureCrypter et PureLogs arrivent

La complexité ne s'arrête pas à PureRAT. L'exécutable initial déploie également un autre composant nommé « StilKrip.exe ». Il ne s'agit pas d'un malware développé de toutes pièces, mais d'un téléchargeur commercial appelé PureCrypter , actif depuis 2022 et souvent utilisé dans les campagnes criminelles pour diffuser des menaces supplémentaires.

PureCrypter récupère et exécute un fichier appelé « Bghwwhmlr.wav », qui poursuit la chaîne en appelant à nouveau InstallUtil.exe. Cela conduit finalement à l'exécution d'un fichier nommé « Ttcxxewxtly.exe », qui extrait une charge utile finale : le voleur PureLogs.

PureLogs est un outil complet de collecte d'informations qui analyse les navigateurs et les clients de messagerie, les applications VPN, les gestionnaires de mots de passe et les portefeuilles de cryptomonnaies. Il peut même collecter les identifiants des clients FTP comme FileZilla et WinSCP.

Implications pour les organisations et les cyberdéfenses

PureRAT se distingue par sa structure modulaire et sa persistance silencieuse. Plus qu'une simple infection, il s'agit d'une plateforme offrant aux attaquants un contrôle quasi total du système compromis. De la surveillance des frappes au clavier et du contrôle des webcams à l'exploration silencieuse de données, ce malware permet un large éventail d'activités de cyberespionnage.

Pour les entreprises, notamment celles des secteurs manipulant des données sensibles, cela implique un risque accru non seulement de vol de données, mais aussi de perturbations opérationnelles potentielles. Un système compromis peut rester indétectable pendant des semaines, voire des mois, permettant aux attaquants de s'emparer progressivement d'informations précieuses.

Se défendre contre l'envahisseur invisible

Les e-mails de phishing constituent la principale porte d'entrée de PureRAT. Cela souligne l'importance cruciale de protocoles de sécurité de messagerie robustes, de formations des utilisateurs et de solutions de protection des terminaux. Les organisations doivent se concentrer sur la surveillance des activités inhabituelles, la mise en œuvre de l'authentification multifacteur et la mise à jour continue des systèmes et logiciels.

Les experts en cybersécurité recommandent également de mettre en sandbox les pièces jointes des e-mails et de mettre en œuvre des techniques de détection comportementale capables de détecter les logiciels malveillants même lorsqu'ils utilisent des outils système légitimes comme InstallUtil.exe pour masquer leurs traces.

Un signal d'alarme, pas une raison de paniquer

L'essor de PureRAT et de ses composants associés, comme PureCrypter et PureLogs, marque une évolution des tactiques de malware, alliant ingénierie sociale, outils légitimes et composants standard pour créer une menace puissante. Cependant, avec une sensibilisation, une préparation et une posture de sécurité adéquate, les entreprises peuvent se protéger efficacement contre ces menaces complexes. L'objectif n'est pas de susciter la peur, mais d'encourager la vigilance et une action éclairée face à des cyberattaques de plus en plus sophistiquées.

Par Willa
May 22, 2025
Trojan
Français
May 22, 2025
Trojan

Articles Populaires

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 1 month

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 12 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 8 months

PayPal - Arnaque par e-mail « Vous avez ajouté une nouvelle...

Il y a 3 months

Omega Ad Blocker : une extension trompeuse qui agit comme un...

Il y a 3 months

Comprendre et atténuer la menace de W32.AIDetectMalware

Il y a 10 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.