„PureRAT“ kenkėjiška programa: kas slypi už sudėtingų sukčiavimo atakų

Kas yra „PureRAT“ ir kodėl jis patenka į antraštes?

„PureRAT“ yra nuotolinės prieigos Trojos arklys (RAT), sulaukęs dėmesio dėl staigaus sukčiavimo atakų, nukreiptų prieš Rusijos organizacijas, skaičiaus augimo. Pirmą kartą pastebėta 2023 m. pradžioje, ši kenkėjiška programa tyliai veikė fone iki 2025 m. pradžios.

Nors nusikaltėlių tapatybės nežinomos, atakos metodas yra labai gerai žinomas: atkeliauja sukčiavimo el. laiškas, kuriame yra RAR archyvas arba nuoroda į jį, sumaniai užmaskuota taip, kad atrodytų kaip nekenksmingas „Microsoft Word“ arba PDF dokumentas . Šie apgaulingi failų pavadinimai dažnai naudoja dvigubus plėtinius (pvz., .pdf.rar), kad apgautų vartotojus ir priverstų juos atidaryti, manydami, kad jie sąveikauja su įprastu failų tipu.

Kaip vyksta ataka: daugiasluoksnis pateikimo metodas

Atidarius archyvą, jame yra vykdomasis failas. Kai auka jį paleidžia, kenkėjiška programa tyliai įsirašo į „Windows“ sistemą, nukopijuodama save į „AppData“ aplanką pavadinimu „task.exe“. Iš ten ji įkelia „Visual Basic“ scenarijų į sistemos paleisties aplanką, kad užtikrintų, jog jis būtų paleistas kiekvieną kartą paleidus kompiuterį iš naujo.

Ši pradinė apkrova išpakuoja dar vieną failą pavadinimu „ckcfb.exe“, kuris naudoja teisėtą „Windows“ įrankį „InstallUtil.exe“, kad įterptų kitą kenkėjiškos programos etapą. Šiuo metu iššifruojamas ir paleidžiamas pagrindinis failas pavadinimu „Spydgozoi.dll“, atveriantis pagrindines „PureRAT“ galines duris.

Galimybės, viršijančios paprastą stebėjimą

„PureRAT“ nėra tik slapta prieiga – tai daugiafunkcis šnipinėjimo įrankis. Jis nedelsdamas užmezga saugų SSL ryšį su savo komandų ir valdymo (C2) serveriu. Jis siunčia užpuolikui sistemos informaciją, pvz., naudojamą antivirusinę programinę įrangą, kompiuterio pavadinimą ir veikimo laiką. Kai ryšys aktyvus, kenkėjiška programa gali atsisiųsti ir aktyvuoti įvairius modulius, kad išplėstų savo funkcionalumą.

Šie moduliai apima:

  • „PluginPcOption“ : leidžia kenkėjiškai programai ištrinti save, paleisti iš naujo arba priverstinai išjungti / paleisti sistemą iš naujo.
  • „PluginWindowNotify“ : stebi atidarytus langus, ieškodamas tokių raktinių žodžių kaip „slaptažodis“ arba „bankas“, todėl gali būti galima stebėti arba nukreipti vartotojus realiuoju laiku.
  • „PluginClipper“ : veikia kaip iškarpinės užgrobėjas, pakeisdamas bet kokį nukopijuotą kriptovaliutų piniginės adresą užpuoliko kontroliuojamu adresu.

Daugiau nei tik RAT: įveskite „PureCrypter“ ir „PureLogs“

Sudėtingumas nesibaigia vien „PureRAT“. Pradiniame vykdomajame faile taip pat yra kitas komponentas, vadinamas „StilKrip.exe“. Tai ne nuo nulio sukurta kenkėjiška programa, o komerciškai prieinama atsisiuntimo programa „PureCrypter“ , veikianti nuo 2022 m. ir dažnai naudojama nusikalstamose kampanijose, siekiant pašalinti papildomas grėsmes.

„PureCrypter“ nuskaito ir vykdo failą, vadinamą „Bghwwhmlr.wav“, kuris tęsia grandinę dar kartą iškviesdamas „InstallUtil.exe“. Galiausiai tai veda prie failo pavadinimu „Ttcxxewxtly.exe“ vykdymo, kuris išgauna galutinį paketą: „PureLogs“ vagystę.

„PureLogs“ yra išsami informacijos rinkimo priemonė, kuri nuskaito naršykles ir el. pašto klientus, VPN programas, slaptažodžių tvarkykles ir kriptovaliutų pinigines. Ji netgi gali rinkti prisijungimo duomenis iš FTP klientų, tokių kaip „FileZilla“ ir „WinSCP“.

Poveikis organizacijoms ir kibernetinei gynybai

„PureRAT“ išsiskiria moduline struktūra ir tyliu veikimu. Tai ne tik infekcija – tai platforma, suteikianti užpuolikams beveik visišką pažeistos sistemos kontrolę. Nuo klavišų paspaudimų stebėjimo ir internetinių kamerų valdymo iki tylaus duomenų išgavimo – kenkėjiška programa leidžia vykdyti įvairią kibernetinio šnipinėjimo veiklą.

Įmonėms, ypač toms, kurios dirba sektoriuose, kuriuose tvarkomi jautrūs duomenys, tai reiškia padidėjusią ne tik duomenų vagystės, bet ir galimų veiklos sutrikimų riziką. Pažeista sistema gali likti nepastebėta savaites ar mėnesius, todėl užpuolikai gali nuolat išvilioti vertingą informaciją.

Gynyba nuo nematomo užpuoliko

Pagrindinis „PureRAT“ įsilaužimo taškas išlieka sukčiavimo el. laiškai. Tai pabrėžia kritinį patikimų el. pašto saugumo protokolų, vartotojų mokymo ir galinių taškų apsaugos sprendimų poreikį. Organizacijos turėtų sutelkti dėmesį į neįprastos veiklos stebėjimą, daugiafaktorinio autentifikavimo diegimą ir sistemų bei programinės įrangos atnaujinimą.

Kibernetinio saugumo ekspertai taip pat rekomenduoja izoliuoti el. pašto priedus ir įdiegti elgsenos aptikimo metodus, kurie gali aptikti kenkėjiškas programas net tada, kai jos naudoja teisėtus sistemos įrankius, tokius kaip InstallUtil.exe, kad paslėptų savo pėdsakus.

Žadinimo skambutis, o ne panikos priežastis

„PureRAT“ ir su juo susijusių komponentų, tokių kaip „PureCrypter“ ir „PureLogs“, iškilimas rodo kenkėjiškų programų taktikos evoliuciją – tokią, kurioje socialinė inžinerija, teisėti įrankiai ir standartiniai komponentai sujungiami į galingą grėsmę. Tačiau, turėdamos sąmoningumo, pasiruošimo ir tinkamos saugumo pozicijos, organizacijos gali veiksmingai apsisaugoti nuo šių sudėtingų grėsmių. Tikslas – ne sukelti baimę, o skatinti budrumą ir pagrįstus veiksmus susidūrus su vis sudėtingesnėmis kibernetinėmis kampanijomis.

Iki Willa m
May 22, 2025
Trojan
Lietuvių
May 22, 2025
Trojan

Populiarūs skelbimai

Eporner.com ir kodėl per daug iššokančių langų yra rizikinga

1 month atgal

Kas yra OperaGXSetup.exe failas ir ar jis yra kenkėjiškas?

12 months atgal

„HackTool“: „Win32“ / „Crack“: kenkėjiška grėsmė, galinti...

8 months atgal

„PayPal“ – pridėjote naują el. pašto adresą

3 months atgal

„Omega“ skelbimų blokatorius: klaidinantis plėtinys,...

3 months atgal

Supraskite ir sumažinkite W32.AIDetectMalware grėsmę

10 months atgal
Lietuvių
Įkeliama ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.