PureRAT 恶意软件:复杂网络钓鱼攻击背后的真相
Table of Contents
PureRAT 是什么?为什么它会成为头条新闻?
PureRAT 是一种远程访问木马 (RAT),因成为针对俄罗斯机构的网络钓鱼攻击急剧增加的焦点而备受关注。该恶意软件于 2023 年初首次被发现,并悄然潜伏于幕后,直至 2025 年初。
虽然攻击者的身份尚不清楚,但攻击手法却屡见不鲜:攻击者会发送一封钓鱼邮件,其中包含一个 RAR 压缩文件或其链接,巧妙地伪装成看似无害的 Microsoft Word 或PDF 文档。这些具有欺骗性的文件名通常使用双重扩展名(例如 .pdf.rar),诱骗用户打开它们,使其误以为正在访问的是常见的文件类型。
攻击如何展开:分层交付方法
一旦打开,该压缩包就会包含一个可执行文件。当受害者运行该文件时,恶意软件会悄悄地将自身安装到 Windows 系统中,并将其自身复制到名为“task.exe”的 AppData 文件夹中。然后,它会将一个 Visual Basic 脚本放入系统的启动文件夹中,以确保每次计算机重启时都会运行该脚本。
这个初始payload会解压另一个名为“ckcfb.exe”的文件,该文件使用合法的Windows工具InstallUtil.exe注入恶意软件的下一阶段。此时,一个名为“Spydgozoi.dll”的关键文件会被解密并运行,从而释放PureRAT的主后门。
超越简单监视的功能
PureRAT 不仅仅是一个后门,它还是一个多功能间谍工具。它会立即与其命令和控制 (C2) 服务器建立安全的 SSL 连接。它会将系统详细信息(例如正在使用的杀毒软件、计算机名称和正常运行时间)发回给攻击者。一旦连接建立,该恶意软件就可以下载并激活各种模块来扩展其功能。
这些模块包括:
- PluginPcOption :允许恶意软件删除自身、重新启动其操作或强制关闭/重启系统。
- PluginWindowNotify :监视打开的窗口中是否存在“密码”或“银行”等关键字,从而可能实现实时监视或重定向。
- PluginClipper :充当剪贴板劫持者,将任何复制的加密货币钱包地址替换为攻击者控制的地址。
不仅仅是 RAT:PureCrypter 和 PureLogs 的加入
PureRAT 的复杂性远不止于此。初始可执行文件还部署了另一个名为“StilKrip.exe”的组件。这并非从零开始开发的恶意软件,而是一款名为PureCrypter的商业下载程序,自 2022 年以来一直活跃,并经常用于犯罪活动以投放更多威胁。
PureCrypter 获取并执行名为“Bghwwhmlr.wav”的文件,该文件会再次调用 InstallUtil.exe,从而延续攻击链。最终,这将导致名为“Ttcxxewxtly.exe”的文件执行,该文件会提取最终的有效载荷:PureLogs 窃取程序。
PureLogs 是一款功能全面的信息收集工具,可扫描浏览器、电子邮件客户端、VPN 应用、密码管理器以及加密货币钱包。它甚至可以从 FileZilla 和 WinSCP 等 FTP 客户端收集凭据。
对组织和网络防御的影响
PureRAT 的独特之处在于其模块化结构和静默持久性。它不仅仅是一种感染工具,更是一个平台,让攻击者几乎可以完全控制受感染的系统。从监控键盘输入、控制网络摄像头到悄无声息地挖掘数据,该恶意软件可以进行各种网络间谍活动。
对于企业,尤其是处理敏感数据的企业而言,这不仅意味着数据被盗的风险增加,还意味着潜在的运营中断风险。被入侵的系统可能会在数周甚至数月内不被察觉,从而使攻击者得以持续窃取宝贵信息。
防御隐形入侵者
PureRAT 的主要入口仍然是网络钓鱼电子邮件。这凸显了对强大的电子邮件安全协议、用户培训和端点保护解决方案的迫切需求。组织应重点监控异常活动、实施多因素身份验证,并保持系统和软件的更新。
网络安全专家还建议对电子邮件附件进行沙盒处理,并实施行为检测技术,即使恶意软件使用 InstallUtil.exe 等合法系统工具来隐藏其踪迹,也可以捕获恶意软件。
警钟敲响,而非恐慌
PureRAT 及其相关组件(例如 PureCrypter 和 PureLogs)的兴起标志着恶意软件攻击手段的演变——它将社会工程学、合法工具和现成的组件融合在一起,构成了强大的威胁。然而,只要具备防范意识、做好准备并采取正确的安全措施,组织就能有效抵御这些复杂的威胁。我们的目标并非制造恐慌,而是鼓励人们在日益复杂的网络攻击活动中保持警惕并采取明智的行动。
