PureRAT kártevő: Mi áll a kifinomult adathalász támadások mögött?

Mi a PureRAT, és miért kerül a címlapokra?

A PureRAT egy távoli hozzáférésű trójai (RAT), amely az orosz szervezeteket célzó adathalász támadások számának hirtelen növekedése miatt keltette fel a figyelmet. A kártevőt először 2023 elején figyelték meg, és 2025 elejéig csendben a háttérben ólálkodott.

Bár az elkövetők kiléte ismeretlen, a támadás módszere túlságosan is ismerős: egy adathalász e-mail érkezik, amely vagy egy RAR archívumot, vagy egy arra mutató linket tartalmaz, ügyesen álcázva, hogy ártalmatlan Microsoft Word vagy PDF dokumentumnak tűnjön. Ezek a megtévesztő fájlnevek gyakran dupla kiterjesztést használnak (pl. .pdf.rar), hogy rávegyék a felhasználókat a megnyitásukra, azt hive, hogy egy gyakori fájltípussal kommunikálnak.

Hogyan bontakozik ki a támadás: Rétegzett kézbesítési módszer

Megnyitás után az archívum egy futtatható fájlt tartalmaz. Amikor az áldozat futtatja, a kártevő csendben telepíti magát a Windows rendszerre, és bemásolja magát az AppData mappába „task.exe” néven. Innen egy Visual Basic szkriptet helyez a rendszer indítómappájába, hogy minden újraindításkor lefusson.

Ez a kezdeti hasznos adat kicsomagol egy újabb, „ckcfb.exe” nevű fájlt, amely egy legitim Windows eszközt, az InstallUtil.exe-t használja a kártevő következő szakaszának befecskendezéséhez. Ezen a ponton a „Spydgozoi.dll” nevű kulcsfájl visszafejtésre és futtatásra kerül, felszabadítva a PureRAT fő hátsó ajtóját.

Az egyszerű megfigyelésen túlmutató képességek

A PureRAT nem csupán egy hátsó ajtó – egy multifunkcionális kémprogram. Azonnal biztonságos SSL-kapcsolatot létesít a parancs- és vezérlő (C2) szerverével. Rendszeradatokat küld vissza a támadónak, például a használt víruskereső szoftvert, a számítógép nevét és az üzemidőt. Miután a kapcsolat aktív, a rosszindulatú program letölthet és aktiválhat különféle modulokat a funkcionalitásának kibővítése érdekében.

Ezek a modulok a következőket tartalmazzák:

  • PluginPcOption : Lehetővé teszi a kártevő számára, hogy törölje magát, újraindítsa működését, vagy kényszerítse a rendszer leállítását/újraindítását.
  • PluginWindowNotify : Figyelemmel kíséri a megnyitott ablakokat olyan kulcsszavak után, mint a „jelszó” vagy a „bank”, lehetővé téve a valós idejű megfigyelést vagy átirányítást.
  • PluginClipper : Vágólap-eltérítőként működik, és a másolt kriptovaluta-tárca címeket a támadó által ellenőrzött címekkel cseréli le.

Több mint egy RAT: Íme a PureCrypter és a PureLogs

A bonyolultság nem ér véget a PureRAT-tal. A kezdeti futtatható fájl egy másik komponenst is telepít, a "StilKrip.exe"-t. Ez nem egy teljesen új kártevő, hanem egy kereskedelmi forgalomban kapható letöltőprogram, a PureCrypter , amely 2022 óta működik, és gyakran használják bűnözői kampányokban további fenyegetések leküzdésére.

A PureCrypter lekéri és végrehajtja a „Bghwwhmlr.wav” nevű fájlt, amely az InstallUtil.exe újbóli meghívásával folytatja a láncot. Ez végül a „Ttcxxewxtly.exe” nevű fájl végrehajtásához vezet, amely kinyeri a végső hasznos adatot: a PureLogs stealert.

A PureLogs egy átfogó információgyűjtő eszköz, amely böngészőket és e-mail klienseket, VPN-alkalmazásokat, jelszókezelőket és kriptovaluta-tárcákat vizsgál. Még FTP-kliensektől, például a FileZillától és a WinSCP-től is képes hitelesítő adatokat gyűjteni.

Következmények a szervezetekre és a kibervédelemre nézve

A PureRAT-ot moduláris felépítése és csendes működése különbözteti meg. Nem csupán egy fertőzés – ez egy olyan platform, amely szinte teljes kontrollt biztosít a támadóknak a feltört rendszer felett. A billentyűleütések figyelésétől és a webkamerák vezérlésétől kezdve a csendes adatbányászatig a rosszindulatú program széles körű kiberkémkedési tevékenységeket tesz lehetővé.

A vállalkozások, különösen az érzékeny adatokat kezelő szektorokban működők számára ez nemcsak az adatlopás, hanem a potenciális működési zavarok fokozott kockázatát is jelenti. Egy feltört rendszer hetekig vagy hónapokig is titokban maradhat, lehetővé téve a támadók számára, hogy folyamatosan értékes információkat lopjanak el.

Védekezés a láthatatlan betolakodó ellen

A PureRAT elsődleges belépési pontja továbbra is az adathalász e-mailek. Ez kiemeli a robusztus e-mail biztonsági protokollok, a felhasználói képzés és a végpontvédelmi megoldások iránti kritikus igényt. A szervezeteknek a szokatlan tevékenységek figyelésére, a többtényezős hitelesítés bevezetésére, valamint a rendszerek és szoftverek naprakészen tartására kell összpontosítaniuk.

A kiberbiztonsági szakértők azt is javasolják, hogy az e-mail mellékleteket sandboxoljuk, és olyan viselkedés-észlelési technikákat alkalmazzunk, amelyek még akkor is képesek kiszűrni a rosszindulatú programokat, ha azok legitim rendszereszközöket, például InstallUtil.exe-t használnak a nyomkövetés elrejtésére.

Ébresztő, nem ok a pánikra

A PureRAT és a kapcsolódó komponensek, mint például a PureCrypter és a PureLogs térnyerése a rosszindulatú programok elleni taktikák fejlődését jelzi – egy olyan fejlődést, amely a pszichológiai manipulációt, a legitim eszközöket és a kész komponenseket egy erős fenyegetéssé ötvözi. A tudatossággal, a felkészüléssel és a megfelelő biztonsági intézkedésekkel azonban a szervezetek hatékonyan védekezhetnek ezekkel az összetett fenyegetésekkel szemben. A cél nem a félelemkeltés, hanem az éberség és a megalapozott cselekvés ösztönzése az egyre kifinomultabb kiberkampányokkal szemben.

Willa -Ig
May 22, 2025
Trojan
Magyar
May 22, 2025
Trojan

Népszerű Bejegyzések

Az Eporner.com és miért kockázatos a túl sok előugró ablak?

1 month ezelőtt

Mi az OperaGXSetup.exe fájl, és rosszindulatú?

12 months ezelőtt

HackTool:Win32/Crack: rosszindulatú fenyegetés, amely súlyosan...

8 months ezelőtt

PayPal – Új címmel ellátott e-mail-átverés

3 months ezelőtt

Omega Ad Blocker: Félrevezető bővítmény, amely...

3 months ezelőtt

A W32.AIDetectMalware fenyegetés megértése és mérséklése

10 months ezelőtt
Magyar
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.