PureRAT-malware: wat schuilt er achter geavanceerde phishingaanvallen?

Wat is PureRAT en waarom staat het in de krantenkoppen?

PureRAT is een remote access trojan (RAT) die de aandacht heeft getrokken omdat het centraal staat in een sterke toename van phishingaanvallen gericht op Russische organisaties. Deze malware werd voor het eerst begin 2023 ontdekt en bleef tot begin 2025 onopgemerkt op de achtergrond.

Hoewel de identiteit van de daders onbekend blijft, is de aanvalsmethode maar al te bekend: er komt een phishingmail binnen met daarin een RAR-archief of een link ernaar, slim vermomd als een onschuldig Microsoft Word- of PDF-document . Deze misleidende bestandsnamen gebruiken vaak dubbele extensies (bijvoorbeeld .pdf.rar) om gebruikers te misleiden en ze te laten openen, in de veronderstelling dat ze met een gangbaar bestandstype werken.

Hoe de aanval zich ontvouwt: een gelaagde afleveringsmethode

Eenmaal geopend, bevat het archief een uitvoerbaar bestand. Wanneer het slachtoffer dit uitvoert, installeert de malware zich onopvallend op het Windows-systeem en kopieert zichzelf naar de AppData-map onder de naam 'task.exe'. Van daaruit plaatst het een Visual Basic-script in de opstartmap van het systeem, zodat het elke keer dat de computer opnieuw wordt opgestart, wordt uitgevoerd.

Deze eerste payload pakt nog een ander bestand uit, genaamd "ckcfb.exe", dat een legitieme Windows-tool, InstallUtil.exe, gebruikt om de volgende fase van de malware te injecteren. Op dit punt wordt een sleutelbestand genaamd "Spydgozoi.dll" gedecodeerd en uitgevoerd, waarmee de belangrijkste PureRAT-backdoor wordt geactiveerd.

Mogelijkheden die verder gaan dan eenvoudige bewaking

PureRAT is niet zomaar een achterdeurtje, het is een multifunctionele spionagetool. Het brengt direct een beveiligde SSL-verbinding tot stand met de command-and-control (C2)-server. Het stuurt systeemgegevens terug naar de aanvaller, zoals de gebruikte antivirussoftware, de computernaam en de uptime. Zodra de verbinding actief is, kan de malware verschillende modules downloaden en activeren om de functionaliteit uit te breiden.

Deze modules omvatten:

  • PluginPcOption : Hiermee kan de malware zichzelf verwijderen, de werking opnieuw starten of een afsluiting/herstart van het systeem forceren.
  • PluginWindowNotify : controleert geopende vensters op trefwoorden zoals 'wachtwoord' of 'bank', wat mogelijk realtime toezicht of omleiding mogelijk maakt.
  • PluginClipper : fungeert als een klembordkaper, waarbij elk gekopieerd cryptovaluta-walletadres wordt vervangen door een adres dat door de aanvaller wordt beheerd.

Meer dan alleen een RAT: PureCrypter en PureLogs

De complexiteit houdt niet op bij PureRAT. Het initiële uitvoerbare bestand implementeert ook een andere component genaamd "StilKrip.exe". Dit is geen malware die helemaal opnieuw is ontwikkeld, maar een commercieel verkrijgbare downloader genaamd PureCrypter , actief sinds 2022 en vaak gebruikt in criminele campagnes om extra bedreigingen te verspreiden.

PureCrypter haalt een bestand op met de naam "Bghwwhmlr.wav" en voert het uit. Dit zet de keten voort door InstallUtil.exe opnieuw aan te roepen. Uiteindelijk leidt dit tot de uitvoering van een bestand met de naam "Ttcxxewxtly.exe", dat een laatste payload extraheert: de PureLogs-stealer.

PureLogs is een uitgebreide tool voor het verzamelen van informatie die browsers, e-mailclients, VPN-apps, wachtwoordmanagers en cryptocurrency-wallets scant. Het kan zelfs inloggegevens verzamelen van FTP-clients zoals FileZilla en WinSCP.

Implicaties voor organisaties en cyberverdediging

Wat PureRAT onderscheidt, is de modulaire structuur en stille persistentie. Het is niet zomaar een infectie – het is een platform dat aanvallers vrijwel volledige controle geeft over een gecompromitteerd systeem. Van het monitoren van toetsaanslagen en het bedienen van webcams tot het stilletjes dataminen, de malware maakt een breed scala aan cyberespionageactiviteiten mogelijk.

Voor bedrijven, met name in sectoren die gevoelige gegevens verwerken, betekent dit niet alleen een verhoogd risico op gegevensdiefstal, maar ook op mogelijke operationele verstoringen. Een gecompromitteerd systeem kan weken of maanden onopgemerkt blijven, waardoor aanvallers gestaag waardevolle informatie kunnen buitmaken.

Verdedigen tegen de onzichtbare indringer

Phishingmails vormen nog steeds het primaire toegangspunt voor PureRAT. Dit onderstreept de dringende behoefte aan robuuste e-mailbeveiligingsprotocollen, gebruikerstraining en endpoint protection-oplossingen. Organisaties zouden zich moeten richten op het monitoren van ongebruikelijke activiteiten, het implementeren van multi-factorauthenticatie en het up-to-date houden van systemen en software.

Cybersecurity-experts raden ook aan om e-mailbijlagen te sandboxen en technieken voor gedragsdetectie te implementeren waarmee malware kan worden gedetecteerd, zelfs als deze legitieme systeemhulpprogramma's zoals InstallUtil.exe gebruikt om sporen te verbergen.

Een wake-up call, geen reden tot paniek

De opkomst van PureRAT en de bijbehorende componenten zoals PureCrypter en PureLogs luidt een evolutie in malwaretactieken in – een evolutie die social engineering, legitieme tools en kant-en-klare componenten combineert tot een krachtige dreiging. Met bewustzijn, voorbereiding en de juiste beveiligingshouding kunnen organisaties zich echter effectief beschermen tegen deze complexe dreigingen. Het doel is niet om angst te zaaien, maar om waakzaamheid en geïnformeerde actie te stimuleren in het licht van steeds geavanceerdere cybercampagnes.

Tegen Willa
May 22, 2025
Trojan
Nederlands
May 22, 2025
Trojan

Populaire posts

Eporner.com en waarom de overmatige pop-ups riskant zijn

1 month geleden

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

12 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

8 months geleden

PayPal - U heeft een nieuw adres toegevoegd E-mailfraude

3 months geleden

Omega Ad Blocker: een misleidende extensie die als adware...

3 months geleden

Begrijp en verminder de dreiging van W32.AIDetectMalware

10 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.