PureRAT Malware: Hvad ligger der bag sofistikerede phishing-angreb
Table of Contents
Hvad er PureRAT, og hvorfor skaber det overskrifter?
PureRAT er en fjernadgangstrojaner (RAT), der har fået opmærksomhed for at være centrum for en kraftig stigning i phishing-angreb rettet mod russiske organisationer. Denne malware, der først blev observeret i begyndelsen af 2023, lå stille og roligt i baggrunden indtil begyndelsen af 2025.
Selvom gerningsmændenes identiteter forbliver ukendte, er angrebsmetoden alt for velkendt: en phishing-e-mail ankommer, der indeholder enten et RAR-arkiv eller et link til et, smart forklædt til at ligne et harmløst Microsoft Word- eller PDF-dokument . Disse vildledende filnavne bruger ofte dobbelte filtypenavne (f.eks. .pdf.rar) for at narre brugere til at åbne dem i den tro, at de interagerer med en almindelig filtype.
Hvordan angrebet udfolder sig: En lagdelt leveringsmetode
Når arkivet er åbnet, indeholder det en eksekverbar fil. Når offeret kører den, installerer malwaren sig selv i stilhed på Windows-systemet og kopierer sig selv til AppData-mappen under navnet "task.exe". Derfra placerer den et Visual Basic-script i systemets startmappe for at sikre, at det kører, hver gang maskinen genstartes.
Denne indledende nyttelast udpakker endnu en fil med navnet "ckcfb.exe", som bruger et legitimt Windows-værktøj, InstallUtil.exe, til at injicere den næste fase af malwaren. På dette tidspunkt dekrypteres og køres en nøglefil med navnet "Spydgozoi.dll", hvilket udløser den primære PureRAT-bagdør.
Muligheder ud over simpel overvågning
PureRAT er ikke bare en bagdør – det er et multifunktionelt spionageværktøj. Det etablerer øjeblikkeligt en sikker SSL-forbindelse med sin kommando-og-kontrol (C2) server. Det sender systemoplysninger tilbage til angriberen, såsom antivirussoftware i brug, computernavn og oppetid. Når forbindelsen er aktiv, kan malwaren downloade og aktivere forskellige moduler for at udvide sin funktionalitet.
Disse moduler omfatter:
- PluginPcOption : Tillader malwaren at slette sig selv, genstarte dens funktioner eller gennemtvinge en nedlukning/genstart af systemet.
- PluginWindowNotify : Overvåger åbne vinduer for nøgleord som "adgangskode" eller "bank", hvilket potentielt muliggør overvågning eller omdirigering i realtid.
- PluginClipper : Fungerer som en udklipsholder-kaprer, der erstatter enhver kopieret kryptovaluta-wallet-adresse med en, der kontrolleres af angriberen.
Mere end bare en ROTTE: Gå ind i PureCrypter og PureLogs
Kompleksiteten stopper ikke med PureRAT. Den oprindelige eksekverbare fil installerer også en anden komponent ved navn "StilKrip.exe". Dette er ikke malware udviklet fra bunden, men en kommercielt tilgængelig downloader kaldet PureCrypter , aktiv siden 2022 og ofte brugt i kriminelle kampagner til at slippe af med yderligere trusler.
PureCrypter henter og udfører en fil kaldet "Bghwwhmlr.wav", som fortsætter kæden ved at kalde InstallUtil.exe igen. Til sidst fører dette til udførelsen af en fil med navnet "Ttcxxewxtly.exe", som udtrækker en sidste nyttelast: PureLogs-stealeren.
PureLogs er et omfattende informationsindsamlingsværktøj, der scanner browsere og e-mailklienter, VPN-apps, adgangskodeadministratorer og kryptovaluta-wallets. Det kan endda indsamle legitimationsoplysninger fra FTP-klienter som FileZilla og WinSCP.
Implikationer for organisationer og cyberforsvar
Det, der adskiller PureRAT, er dens modulære struktur og stille vedholdenhed. Det er ikke bare en infektion – det er en platform, der giver angribere næsten fuld kontrol over et kompromitteret system. Fra overvågning af tastetryk og styring af webkameraer til lydløs dataudvinding muliggør malwaren en bred vifte af cyberspionageaktiviteter.
For virksomheder, især dem i sektorer, der håndterer følsomme data, betyder dette øget risiko ikke kun for datatyveri, men også for potentielle driftsforstyrrelser. Et kompromitteret system kan forblive under radaren i uger eller måneder, hvilket giver angribere mulighed for støt at tilegne sig værdifuld information.
Forsvar mod den usynlige angriber
Det primære indgangspunkt for PureRAT er fortsat phishing-e-mails. Dette understreger det kritiske behov for robuste e-mailsikkerhedsprotokoller, brugeruddannelse og endpoint-beskyttelsesløsninger. Organisationer bør fokusere på at overvåge usædvanlig aktivitet, implementere multifaktorgodkendelse og holde systemer og software opdaterede.
Cybersikkerhedseksperter anbefaler også at bruge sandboxing i e-mailvedhæftninger og implementere adfærdsdetektionsteknikker, der kan fange malware, selv når det bruger legitime systemværktøjer som InstallUtil.exe til at skjule sine spor.
Et vækkeur, ikke en grund til panik
Fremkomsten af PureRAT og dets tilhørende komponenter som PureCrypter og PureLogs signalerer en udvikling inden for malware-taktikker – en udvikling, der blander social engineering, legitime værktøjer og standardkomponenter til en potent trussel. Men med bevidsthed, forberedelse og den rette sikkerhedsstilling kan organisationer effektivt beskytte sig mod disse komplekse trusler. Målet er ikke at skabe frygt, men at fremme årvågenhed og informeret handling i lyset af stadig mere sofistikerede cyberkampagner.
