Malware PureRAT: O que está por trás de ataques sofisticados de phishing

O que é PureRAT e por que está nas manchetes?

O PureRAT é um Trojan de acesso remoto (RAT) que ganhou destaque por estar no centro de um aumento acentuado nos ataques de phishing direcionados a organizações russas. Observado pela primeira vez no início de 2023, esse malware permaneceu em segundo plano até o início de 2025.

Embora as identidades dos autores permaneçam desconhecidas, o método de ataque é bastante conhecido: um e-mail de phishing chega contendo um arquivo RAR ou um link para um, habilmente disfarçado para se parecer com um documento inofensivo do Microsoft Word ou PDF . Esses nomes de arquivo enganosos costumam usar extensões duplas (por exemplo, .pdf.rar) para induzir os usuários a abri-los, acreditando que estão interagindo com um tipo de arquivo comum.

Como o ataque se desenrola: um método de entrega em camadas

Uma vez aberto, o arquivo contém um arquivo executável. Quando a vítima o executa, o malware se instala silenciosamente no sistema Windows, copiando-se para a pasta AppData com o nome "task.exe". De lá, ele insere um script do Visual Basic na pasta de inicialização do sistema para garantir que seja executado sempre que a máquina for reinicializada.

Essa carga inicial descompacta outro arquivo chamado "ckcfb.exe", que usa uma ferramenta legítima do Windows, o InstallUtil.exe, para injetar o próximo estágio do malware. Nesse ponto, um arquivo de chave chamado "Spydgozoi.dll" é descriptografado e executado, liberando o backdoor principal do PureRAT.

Capacidades além da simples vigilância

O PureRAT não é apenas um backdoor — é uma ferramenta de espionagem multifuncional. Ele estabelece imediatamente uma conexão SSL segura com seu servidor de comando e controle (C2). Ele envia detalhes do sistema ao invasor, como o software antivírus em uso, o nome do computador e o tempo de atividade. Uma vez que a conexão esteja ativa, o malware pode baixar e ativar vários módulos para estender sua funcionalidade.

Esses módulos incluem:

  • PluginPcOption : permite que o malware se exclua, reinicie suas operações ou force o desligamento/reinicialização do sistema.
  • PluginWindowNotify : monitora janelas abertas em busca de palavras-chave como "senha" ou "banco", permitindo potencialmente vigilância ou redirecionamento em tempo real.
  • PluginClipper : atua como um sequestrador de área de transferência, substituindo qualquer endereço de carteira de criptomoeda copiado por um controlado pelo invasor.

Mais do que apenas um RAT: Conheça o PureCrypter e o PureLogs

A complexidade não termina com o PureRAT. O executável inicial também implanta outro componente chamado "StilKrip.exe". Não se trata de um malware desenvolvido do zero, mas de um downloader comercialmente disponível chamado PureCrypter , ativo desde 2022 e frequentemente usado em campanhas criminosas para espalhar ameaças adicionais.

O PureCrypter busca e executa um arquivo conhecido como "Bghwwhmlr.wav", que continua a cadeia chamando InstallUtil.exe novamente. Eventualmente, isso leva à execução de um arquivo chamado "Ttcxxewxtly.exe", que extrai um payload final: o ladrão PureLogs.

O PureLogs é uma ferramenta abrangente de coleta de informações que verifica navegadores e clientes de e-mail, aplicativos de VPN, gerenciadores de senhas e carteiras de criptomoedas. Ele pode até coletar credenciais de clientes FTP como FileZilla e WinSCP.

Implicações para organizações e defesas cibernéticas

O que diferencia o PureRAT é sua estrutura modular e persistência silenciosa. Não se trata apenas de uma infecção — é uma plataforma que oferece aos invasores controle quase total sobre um sistema comprometido. Do monitoramento de teclas digitadas e controle de webcams à mineração silenciosa de dados, o malware possibilita uma ampla gama de atividades de espionagem cibernética.

Para as empresas, especialmente aquelas em setores que lidam com dados sensíveis, isso significa um risco aumentado não apenas de roubo de dados, mas também de potenciais interrupções operacionais. Um sistema comprometido pode permanecer fora do radar por semanas ou meses, permitindo que invasores roubem informações valiosas de forma constante.

Defendendo-se contra o invasor invisível

O principal ponto de entrada para o PureRAT continua sendo os e-mails de phishing. Isso reforça a necessidade crítica de protocolos robustos de segurança de e-mail, treinamento de usuários e soluções de proteção de endpoints. As organizações devem se concentrar em monitorar atividades incomuns, implementar autenticação multifator e manter sistemas e softwares atualizados.

Especialistas em segurança cibernética também recomendam colocar anexos de e-mail em sandbox e implementar técnicas de detecção comportamental que podem capturar malware mesmo quando ele usa ferramentas legítimas do sistema, como InstallUtil.exe, para esconder seus rastros.

Um alerta, não um motivo para pânico

A ascensão do PureRAT e seus componentes associados, como PureCrypter e PureLogs, sinaliza uma evolução nas táticas de malware — uma evolução que combina engenharia social, ferramentas legítimas e componentes prontos para uso em uma ameaça potente. No entanto, com conscientização, preparação e a postura de segurança correta, as organizações podem se proteger eficazmente contra essas ameaças complexas. O objetivo não é criar medo, mas incentivar a vigilância e a ação informada diante de campanhas cibernéticas cada vez mais sofisticadas.

Por Willa
May 22, 2025
Trojan
Portuguese
May 22, 2025
Trojan

Postagens Populares

Eporner.com e por que seus pop-ups excessivos são arriscados

1 month atrás

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

12 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

8 months atrás

PayPal - Golpe de e-mail "Você adicionou um novo endereço"

3 months atrás

Omega Ad Blocker: Uma extensão enganosa que atua como adware

3 months atrás

Entenda e mitigue a ameaça do W32.AIDetectMalware

10 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.