PureRAT-skadlig programvara: Vad som ligger bakom sofistikerade nätfiskeattacker

Vad är PureRAT och varför skapar det rubriker?

PureRAT är en fjärråtkomsttrojan (RAT) som har uppmärksammats för att ha varit i centrum för en kraftig ökning av nätfiskeattacker riktade mot ryska organisationer. Denna skadliga kod observerades först i början av 2023 och dröjde sig kvar i bakgrunden fram till början av 2025.

Medan gärningsmännens identiteter fortfarande är okända är attackmetoden alltför välbekant: ett nätfiskemejl anländer som innehåller antingen ett RAR-arkiv eller en länk till ett, smart förklätt för att se ut som ett ofarligt Microsoft Word- eller PDF-dokument . Dessa vilseledande filnamn använder ofta dubbla filändelser (t.ex. .pdf.rar) för att lura användare att öppna dem i tron att de interagerar med en vanlig filtyp.

Hur attacken utvecklas: En lagerbaserad leveransmetod

När arkivet öppnats innehåller det en körbar fil. När offret kör den installerar sig skadlig programvara tyst på Windows-systemet och kopierar sig själv till AppData-mappen under namnet "task.exe". Därifrån släpper den ett Visual Basic-skript i systemets startmapp för att säkerställa att det körs varje gång maskinen startas om.

Denna initiala nyttolast packar upp ytterligare en fil med namnet "ckcfb.exe", som använder ett legitimt Windows-verktyg, InstallUtil.exe, för att injicera nästa steg av skadlig programvara. Vid denna tidpunkt dekrypteras och körs en nyckelfil med namnet "Spydgozoi.dll", vilket släpper lös den huvudsakliga bakdörren för PureRAT.

Funktioner utöver enkel övervakning

PureRAT är inte bara en bakdörr – det är ett multifunktionellt spionverktyg. Det upprättar omedelbart en säker SSL-anslutning med sin kommando- och kontrollserver (C2). Det skickar systeminformation tillbaka till angriparen, såsom antivirusprogram som används, datornamn och drifttid. När anslutningen är aktiv kan skadlig programvara ladda ner och aktivera olika moduler för att utöka sin funktionalitet.

Dessa moduler inkluderar:

  • PluginPcOption : Tillåter att skadlig programvara raderar sig själv, startar om sin verksamhet eller tvingar fram en avstängning/omstart av systemet.
  • PluginWindowNotify : Övervakar öppna fönster för nyckelord som "lösenord" eller "bank", vilket potentiellt möjliggör övervakning eller omdirigering i realtid.
  • PluginClipper : Fungerar som en urklippskapare och ersätter alla kopierade kryptovalutaplånboksadresser med en som kontrolleras av angriparen.

Mer än bara en RÅTTA: Gå in i PureCrypter och PureLogs

Komplexiteten slutar inte med PureRAT. Den ursprungliga körbara filen distribuerar också en annan komponent som heter "StilKrip.exe". Detta är inte skadlig kod som utvecklats från grunden, utan en kommersiellt tillgänglig nedladdningsbar programvara som heter PureCrypter , aktiv sedan 2022 och ofta används i kriminella kampanjer för att släppa ytterligare hot.

PureCrypter hämtar och kör en fil som heter "Bghwwhmlr.wav", som fortsätter kedjan genom att anropa InstallUtil.exe igen. Så småningom leder detta till körningen av en fil med namnet "Ttcxxewxtly.exe", som extraherar en sista nyttolast: PureLogs-stjälen.

PureLogs är ett omfattande informationsinsamlingsverktyg som skannar webbläsare och e-postklienter, VPN-appar, lösenordshanterare och kryptovalutaplånböcker. Det kan till och med samla in inloggningsuppgifter från FTP-klienter som FileZilla och WinSCP.

Implikationer för organisationer och cyberförsvar

Det som skiljer PureRAT från mängden är dess modulära struktur och tysta beständighet. Det är inte bara en infektion – det är en plattform som ger angripare nästan fullständig kontroll över ett komprometterat system. Från att övervaka tangenttryckningar och styra webbkameror till tyst datautvinning möjliggör den skadliga programvaran ett brett spektrum av cyberspionageaktiviteter.

För företag, särskilt de inom sektorer som hanterar känsliga uppgifter, innebär detta ökad risk inte bara för datastöld utan även för potentiella driftstörningar. Ett komprometterat system kan förbli osynligt i veckor eller månader, vilket gör att angripare stadigt kan suga ut värdefull information.

Försvar mot den osynliga inkräktaren

Den primära ingångspunkten för PureRAT är fortfarande nätfiskemejl. Detta understryker det kritiska behovet av robusta e-postsäkerhetsprotokoll, användarutbildning och lösningar för endpoint-skydd. Organisationer bör fokusera på att övervaka ovanlig aktivitet, implementera flerfaktorsautentisering och hålla system och programvara uppdaterade.

Cybersäkerhetsexperter rekommenderar också att e-postbilagor sandboxas och implementerar beteendedetekteringstekniker som kan upptäcka skadlig kod även när den använder legitima systemverktyg som InstallUtil.exe för att dölja sina spår.

En väckarklocka, inte en orsak till panik

Framväxten av PureRAT och dess tillhörande komponenter som PureCrypter och PureLogs signalerar en utveckling inom skadlig kod – en utveckling som blandar social ingenjörskonst, legitima verktyg och standardkomponenter till ett potent hot. Men med medvetenhet, förberedelser och rätt säkerhetsställning kan organisationer effektivt skydda sig mot dessa komplexa hot. Målet är inte att skapa rädsla utan att uppmuntra vaksamhet och välgrundade åtgärder inför alltmer sofistikerade cyberkampanjer.

År Willa
May 22, 2025
Trojan
Svenska
May 22, 2025
Trojan

Populära inlägg

Eporner.com och varför dess överdrivna popup-fönster är riskabla

1 month sedan

Vad är OperaGXSetup.exe-filen och är den skadlig?

12 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

8 months sedan

PayPal - Du har lagt till en ny adress E-postbedrägeri

3 months sedan

Omega Ad Blocker: En vilseledande tillägg som fungerar som adware

3 months sedan

Förstå och mildra hotet med W32.AIDetectMalware

10 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.