Malware PureRAT: Co kryje się za wyrafinowanymi atakami phishingowymi

Czym jest PureRAT i dlaczego jest tak popularny?

PureRAT to trojan zdalnego dostępu (RAT), który zyskał rozgłos, ponieważ jest w centrum gwałtownego wzrostu ataków phishingowych wymierzonych w rosyjskie organizacje. Po raz pierwszy zaobserwowany na początku 2023 r., ten malware cicho czaił się w tle do początku 2025 r.

Choć tożsamość sprawców pozostaje nieznana, metoda ataku jest aż nadto znana: e-mail phishingowy zawiera albo archiwum RAR, albo link do niego, sprytnie zamaskowany tak, by wyglądał jak nieszkodliwy dokument Microsoft Word lub PDF . Te oszukańcze nazwy plików często używają podwójnych rozszerzeń (np. .pdf.rar), aby oszukać użytkowników i skłonić ich do otwarcia, wierząc, że wchodzą w interakcję ze zwykłym typem pliku.

Jak przebiega atak: wielowarstwowa metoda dostarczania

Po otwarciu archiwum zawiera plik wykonywalny. Gdy ofiara go uruchamia, malware cicho instaluje się w systemie Windows, kopiując się do folderu AppData pod nazwą „task.exe”. Stamtąd upuszcza skrypt Visual Basic do folderu startowego systemu, aby upewnić się, że będzie on uruchamiany przy każdym ponownym uruchomieniu komputera.

Ten początkowy ładunek rozpakowuje kolejny plik o nazwie „ckcfb.exe”, który używa legalnego narzędzia Windows, InstallUtil.exe, aby wstrzyknąć następny etap złośliwego oprogramowania. W tym momencie kluczowy plik o nazwie „Spydgozoi.dll” jest odszyfrowywany i uruchamiany, uwalniając główne tylne wejście PureRAT.

Możliwości wykraczające poza prosty nadzór

PureRAT to nie tylko tylne wejście — to wielofunkcyjne narzędzie szpiegowskie. Natychmiast nawiązuje bezpieczne połączenie SSL ze swoim serwerem poleceń i kontroli (C2). Wysyła atakującemu szczegóły systemu, takie jak używane oprogramowanie antywirusowe, nazwę komputera i czas sprawności. Po nawiązaniu połączenia złośliwe oprogramowanie może pobrać i aktywować różne moduły, aby rozszerzyć swoją funkcjonalność.

Moduły te obejmują:

  • PluginPcOption : Umożliwia złośliwemu oprogramowaniu usunięcie samego siebie, ponowne uruchomienie lub wymuszenie zamknięcia/ponownego uruchomienia systemu.
  • PluginWindowNotify : Monitoruje otwarte okna pod kątem słów kluczowych, takich jak „hasło” lub „bank”, potencjalnie umożliwiając nadzór lub przekierowywanie w czasie rzeczywistym.
  • PluginClipper : Działa jak porywacz schowka, podmieniając każdy skopiowany adres portfela kryptowaluty na adres kontrolowany przez atakującego.

Coś więcej niż RAT: Poznaj PureCrypter i PureLogs

Złożoność nie kończy się na PureRAT. Początkowy plik wykonywalny wdraża również inny komponent o nazwie „StilKrip.exe”. Nie jest to złośliwe oprogramowanie opracowane od podstaw, ale komercyjnie dostępny program do pobierania o nazwie PureCrypter , aktywny od 2022 r. i często używany w kampaniach przestępczych w celu zrzucania dodatkowych zagrożeń.

PureCrypter pobiera i uruchamia plik znany jako „Bghwwhmlr.wav”, który kontynuuje łańcuch, ponownie wywołując InstallUtil.exe. Ostatecznie prowadzi to do uruchomienia pliku o nazwie „Ttcxxewxtly.exe”, który wyodrębnia ostateczny ładunek: złodzieja PureLogs.

PureLogs to kompleksowe narzędzie do zbierania informacji, które skanuje przeglądarki i klientów poczty e-mail, aplikacje VPN, menedżerów haseł i portfele kryptowalut. Może nawet zbierać dane uwierzytelniające od klientów FTP, takich jak FileZilla i WinSCP.

Konsekwencje dla organizacji i cyberobrony

Cechą wyróżniającą PureRAT jest jego modułowa struktura i cicha trwałość. To nie tylko infekcja — to platforma, która zapewnia atakującym niemal pełną kontrolę nad skompromitowanym systemem. Od monitorowania naciśnięć klawiszy i kontrolowania kamer internetowych po ciche wydobywanie danych, złośliwe oprogramowanie umożliwia szeroki zakres działań cybernetycznego szpiegostwa.

Dla firm, zwłaszcza tych w sektorach przetwarzających wrażliwe dane, oznacza to zwiększone ryzyko nie tylko kradzieży danych, ale także potencjalnych zakłóceń operacyjnych. Zagrożony system może pozostać niezauważony przez tygodnie lub miesiące, umożliwiając atakującym stałe wysysanie cennych informacji.

Obrona przed niewidzialnym najeźdźcą

Podstawowym punktem wejścia dla PureRAT pozostają wiadomości e-mail phishingowe. Podkreśla to krytyczną potrzebę solidnych protokołów bezpieczeństwa poczty e-mail, szkoleń użytkowników i rozwiązań ochrony punktów końcowych. Organizacje powinny skupić się na monitorowaniu nietypowej aktywności, wdrażaniu uwierzytelniania wieloskładnikowego i aktualizowaniu systemów i oprogramowania.

Eksperci ds. cyberbezpieczeństwa zalecają również izolowanie załączników do wiadomości e-mail i wdrażanie technik wykrywania behawioralnego, które mogą wykryć złośliwe oprogramowanie nawet wtedy, gdy używa ono legalnych narzędzi systemowych, takich jak InstallUtil.exe, do ukrywania swoich śladów.

Sygnał ostrzegawczy, a nie powód do paniki

Rozwój PureRAT i powiązanych z nim komponentów, takich jak PureCrypter i PureLogs, sygnalizuje ewolucję taktyk malware — takich, które łączą inżynierię społeczną, legalne narzędzia i gotowe komponenty w potężne zagrożenie. Jednak dzięki świadomości, przygotowaniu i właściwej postawie bezpieczeństwa organizacje mogą skutecznie chronić się przed tymi złożonymi zagrożeniami. Celem nie jest tworzenie strachu, ale zachęcanie do czujności i świadomego działania w obliczu coraz bardziej wyrafinowanych kampanii cybernetycznych.

Do Willa
May 22, 2025
Trojan
Polski
May 22, 2025
Trojan

Popularne posty

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

1 month temu

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

12 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

8 months temu

PayPal - Dodałeś nowy adres e-mail Oszustwo

3 months temu

Omega Ad Blocker: Mylące rozszerzenie działające jak adware

3 months temu

Zrozumienie i ograniczenie zagrożenia W32.AIDetectMalware

10 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.