Malware PureRAT: cosa si nasconde dietro gli attacchi di phishing più sofisticati

Cos'è PureRAT e perché sta facendo notizia?

PureRAT è un trojan di accesso remoto (RAT) che ha attirato l'attenzione per essere stato al centro di un forte aumento degli attacchi di phishing contro organizzazioni russe. Osservato per la prima volta all'inizio del 2023, questo malware è rimasto silenziosamente in secondo piano fino all'inizio del 2025.

Sebbene l'identità dei criminali rimanga sconosciuta, il metodo di attacco è fin troppo familiare: arriva un'e-mail di phishing contenente un archivio RAR o un link a un archivio RAR, abilmente camuffato per apparire come un innocuo documento Microsoft Word o PDF . Questi nomi di file ingannevoli spesso utilizzano doppie estensioni (ad esempio, .pdf.rar) per indurre gli utenti ad aprirli, credendo che si tratti di un tipo di file comune.

Come si sviluppa l'attacco: un metodo di distribuzione a più livelli

Una volta aperto, l'archivio contiene un file eseguibile. Quando la vittima lo esegue, il malware si installa silenziosamente sul sistema Windows, copiandosi nella cartella AppData con il nome "task.exe". Da lì, inserisce uno script Visual Basic nella cartella di avvio del sistema per garantire che venga eseguito ogni volta che il computer viene riavviato.

Questo payload iniziale decomprime un altro file denominato "ckcfb.exe", che utilizza uno strumento legittimo di Windows, InstallUtil.exe, per iniettare la fase successiva del malware. A questo punto, un file chiave denominato "Spydgozoi.dll" viene decrittografato ed eseguito, liberando la backdoor principale di PureRAT.

Capacità che vanno oltre la semplice sorveglianza

PureRAT non è solo una backdoor: è uno strumento di spionaggio multifunzionale. Stabilisce immediatamente una connessione SSL sicura con il suo server di comando e controllo (C2). Invia all'aggressore informazioni di sistema, come il software antivirus in uso, il nome del computer e il tempo di attività. Una volta attivata la connessione, il malware può scaricare e attivare diversi moduli per estendere le sue funzionalità.

Questi moduli includono:

  • PluginPcOption : consente al malware di eliminarsi, riavviare le sue operazioni o forzare l'arresto/riavvio del sistema.
  • PluginWindowNotify : monitora le finestre aperte alla ricerca di parole chiave come "password" o "banca", consentendo potenzialmente la sorveglianza o il reindirizzamento in tempo reale.
  • PluginClipper : agisce come un dirottatore degli appunti, sostituendo qualsiasi indirizzo di portafoglio di criptovaluta copiato con uno controllato dall'aggressore.

Più di un semplice RAT: entrano in gioco PureCrypter e PureLogs

La complessità non si limita a PureRAT. L'eseguibile iniziale implementa anche un altro componente chiamato "StilKrip.exe". Non si tratta di un malware sviluppato da zero, ma di un downloader disponibile in commercio chiamato PureCrypter , attivo dal 2022 e spesso utilizzato nelle campagne criminali per diffondere ulteriori minacce.

PureCrypter recupera ed esegue un file chiamato "Bghwwhmlr.wav", che prosegue la catena chiamando nuovamente InstallUtil.exe. Infine, questo porta all'esecuzione di un file chiamato "Ttcxxewxtly.exe", che estrae un payload finale: lo stealer PureLogs.

PureLogs è uno strumento completo di raccolta di informazioni che analizza browser e client di posta elettronica, app VPN, gestori di password e wallet di criptovalute. Può persino raccogliere credenziali da client FTP come FileZilla e WinSCP.

Implicazioni per le organizzazioni e le difese informatiche

Ciò che distingue PureRAT è la sua struttura modulare e la sua persistenza silenziosa. Non è solo un'infezione: è una piattaforma che fornisce agli aggressori un controllo pressoché totale su un sistema compromesso. Dal monitoraggio dei tasti premuti al controllo delle webcam, fino all'estrazione silenziosa di dati, il malware consente un'ampia gamma di attività di spionaggio informatico.

Per le aziende, soprattutto quelle che operano in settori che gestiscono dati sensibili, questo significa un aumento del rischio non solo di furto di dati, ma anche di potenziali interruzioni operative. Un sistema compromesso potrebbe rimanere inosservato per settimane o mesi, consentendo agli aggressori di sottrarre costantemente informazioni preziose.

Difendersi dall'invasore invisibile

Il principale punto di accesso per PureRAT rimane l'email di phishing. Ciò sottolinea la necessità critica di solidi protocolli di sicurezza email, formazione degli utenti e soluzioni di protezione degli endpoint. Le organizzazioni dovrebbero concentrarsi sul monitoraggio delle attività insolite, sull'implementazione dell'autenticazione a più fattori e sul mantenimento di sistemi e software aggiornati.

Gli esperti di sicurezza informatica consigliano inoltre di isolare gli allegati e-mail e di implementare tecniche di rilevamento comportamentale in grado di individuare il malware anche quando utilizza strumenti di sistema legittimi come InstallUtil.exe per nascondere le sue tracce.

Un campanello d'allarme, non un motivo di panico

L'ascesa di PureRAT e dei suoi componenti associati come PureCrypter e PureLogs segna un'evoluzione nelle tattiche malware, che combina ingegneria sociale, strumenti legittimi e componenti standard per creare una minaccia potente. Tuttavia, con consapevolezza, preparazione e un adeguato livello di sicurezza, le organizzazioni possono proteggersi efficacemente da queste minacce complesse. L'obiettivo non è creare paura, ma incoraggiare la vigilanza e un'azione consapevole di fronte a campagne informatiche sempre più sofisticate.

Entro il Willa
May 22, 2025
Trojan
Italiano
May 22, 2025
Trojan

Post popolari

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

1 month fa

Cos'è il file OperaGXSetup.exe ed è dannoso?

12 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

8 months fa

PayPal - Hai aggiunto un nuovo indirizzo email truffa

3 months fa

Omega Ad Blocker: un'estensione fuorviante che agisce come adware

3 months fa

Comprendere e mitigare la minaccia del malware W32.AIDetect

10 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.