Malware PureRAT: ¿Qué se esconde tras los sofisticados ataques de phishing?

¿Qué es PureRAT y por qué aparece en los titulares?

PureRAT es un troyano de acceso remoto (RAT) que ha llamado la atención por estar en el centro de un fuerte aumento de ataques de phishing dirigidos a organizaciones rusas. Detectado por primera vez a principios de 2023, este malware permaneció en segundo plano hasta principios de 2025.

Aunque se desconoce la identidad de los autores, el método de ataque es muy conocido: llega un correo electrónico de phishing que contiene un archivo RAR o un enlace a uno, hábilmente camuflado para que parezca un documento inofensivo de Microsoft Word o PDF . Estos nombres de archivo engañosos suelen usar extensiones dobles (p. ej., .pdf.rar) para engañar a los usuarios y que los abran, creyendo que se trata de un tipo de archivo común.

Cómo se desarrolla el ataque: un método de entrega por capas

Una vez abierto, el archivo comprimido contiene un archivo ejecutable. Cuando la víctima lo ejecuta, el malware se instala silenciosamente en el sistema Windows, copiándose en la carpeta AppData con el nombre "task.exe". Desde allí, coloca un script de Visual Basic en la carpeta de inicio del sistema para garantizar su ejecución cada vez que se reinicia el equipo.

Esta carga útil inicial descomprime otro archivo llamado "ckcfb.exe", que utiliza una herramienta legítima de Windows, InstallUtil.exe, para inyectar la siguiente etapa del malware. En este punto, se descifra y ejecuta un archivo clave llamado "Spydgozoi.dll", lo que libera la puerta trasera principal de PureRAT.

Capacidades más allá de la simple vigilancia

PureRAT no es solo una puerta trasera, sino una herramienta de espionaje multifuncional. Establece inmediatamente una conexión SSL segura con su servidor de comando y control (C2). Envía información del sistema al atacante, como el software antivirus en uso, el nombre del equipo y el tiempo de actividad. Una vez activada la conexión, el malware puede descargar y activar varios módulos para ampliar su funcionalidad.

Estos módulos incluyen:

  • PluginPcOption : permite que el malware se elimine a sí mismo, reinicie sus operaciones o fuerce el apagado/reinicio del sistema.
  • PluginWindowNotify : supervisa las ventanas abiertas en busca de palabras clave como "contraseña" o "banco", lo que potencialmente permite la vigilancia o redirección en tiempo real.
  • PluginClipper : actúa como un secuestrador del portapapeles, reemplazando cualquier dirección de billetera de criptomonedas copiada con una controlada por el atacante.

Más que una rata: llegan PureCrypter y PureLogs

La complejidad no termina con PureRAT. El ejecutable inicial también implementa otro componente llamado "StilKrip.exe". No se trata de malware desarrollado desde cero, sino de un descargador comercial llamado PureCrypter , activo desde 2022 y utilizado a menudo en campañas delictivas para distribuir amenazas adicionales.

PureCrypter obtiene y ejecuta un archivo llamado "Bghwwhmlr.wav", que continúa la cadena llamando de nuevo a InstallUtil.exe. Finalmente, esto lleva a la ejecución de un archivo llamado "Ttcxxewxtly.exe", que extrae una carga útil final: el ladrón de PureLogs.

PureLogs es una herramienta integral de recopilación de información que analiza navegadores, clientes de correo electrónico, aplicaciones VPN, gestores de contraseñas y monederos de criptomonedas. Incluso puede recopilar credenciales de clientes FTP como FileZilla y WinSCP.

Implicaciones para las organizaciones y las ciberdefensas

Lo que distingue a PureRAT es su estructura modular y su discreta persistencia. No es solo una infección, sino una plataforma que proporciona a los atacantes un control casi total de un sistema comprometido. Desde la monitorización de pulsaciones de teclas y el control de cámaras web hasta la extracción silenciosa de datos, este malware permite una amplia gama de actividades de ciberespionaje.

Para las empresas, especialmente aquellas en sectores que manejan datos sensibles, esto implica un mayor riesgo no solo de robo de datos, sino también de posibles interrupciones operativas. Un sistema comprometido puede permanecer oculto durante semanas o meses, lo que permite a los atacantes robar información valiosa de forma constante.

Defendiéndose del invasor invisible

El principal punto de entrada de PureRAT siguen siendo los correos electrónicos de phishing. Esto subraya la necesidad crucial de contar con protocolos de seguridad de correo electrónico robustos, capacitación de usuarios y soluciones de protección de endpoints. Las organizaciones deben centrarse en monitorear actividades inusuales, implementar la autenticación multifactor y mantener los sistemas y el software actualizados.

Los expertos en ciberseguridad también recomiendan aislar los archivos adjuntos de correo electrónico e implementar técnicas de detección de comportamiento que puedan atrapar malware incluso cuando utiliza herramientas de sistema legítimas como InstallUtil.exe para ocultar sus rastros.

Una llamada de atención, no un motivo de pánico

El auge de PureRAT y sus componentes asociados, como PureCrypter y PureLogs, señala una evolución en las tácticas de malware: una que combina ingeniería social, herramientas legítimas y componentes estándar para crear una potente amenaza. Sin embargo, con conocimiento, preparación y una estrategia de seguridad adecuada, las organizaciones pueden protegerse eficazmente contra estas complejas amenazas. El objetivo no es generar miedo, sino fomentar la vigilancia y la acción informada ante campañas cibernéticas cada vez más sofisticadas.

En Willa
May 22, 2025
Trojan
Spanish
May 22, 2025
Trojan

Entradas populares

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 1 month

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 12 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 8 months

PayPal: correo electrónico fraudulento que agregó una nueva...

Hace 3 months

Omega Ad Blocker: una extensión engañosa que actúa como adware

Hace 3 months

Comprenda y mitigue la amenaza de W32.AIDetectMalware

Hace 10 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.