Вредоносное ПО PureRAT: что скрывается за сложными фишинговыми атаками

Что такое PureRAT и почему он попадает в заголовки?

PureRAT — это троян удаленного доступа (RAT), который привлек внимание тем, что оказался в центре резкого роста фишинговых атак, нацеленных на российские организации. Впервые обнаруженный в начале 2023 года, этот вредоносный код тихо оставался в фоновом режиме до начала 2025 года.

Хотя личности злоумышленников остаются неизвестными, метод атаки слишком хорошо знаком: приходит фишинговое письмо, содержащее либо архив RAR, либо ссылку на него, искусно замаскированное под безобидный документ Microsoft Word или PDF . Эти обманчивые имена файлов часто используют двойные расширения (например, .pdf.rar), чтобы обмануть пользователей, заставив их открыть их, полагая, что они взаимодействуют с обычным типом файла.

Как разворачивается атака: многоуровневый метод доставки

После открытия архив содержит исполняемый файл. Когда жертва запускает его, вредоносная программа незаметно устанавливается в систему Windows, копируя себя в папку AppData под именем «task.exe». Оттуда она помещает скрипт Visual Basic в папку автозагрузки системы, чтобы обеспечить его запуск при каждой перезагрузке машины.

Эта начальная полезная нагрузка распаковывает еще один файл с именем "ckcfb.exe", который использует легитимный инструмент Windows, InstallUtil.exe, для внедрения следующего этапа вредоносного ПО. На этом этапе ключевой файл с именем "Spydgozoi.dll" расшифровывается и запускается, высвобождая основной бэкдор PureRAT.

Возможности, выходящие за рамки простого наблюдения

PureRAT — это не просто бэкдор, это многофункциональный инструмент шпионажа. Он немедленно устанавливает защищенное SSL-соединение со своим сервером управления и контроля (C2). Он отправляет системные данные обратно злоумышленнику, такие как используемое антивирусное программное обеспечение, имя компьютера и время безотказной работы. После того, как соединение станет активным, вредоносная программа может загрузить и активировать различные модули для расширения своей функциональности.

Эти модули включают в себя:

• PluginPcOption : позволяет вредоносной программе удалить себя, перезапустить свою работу или принудительно завершить работу/перезагрузить систему.
• PluginWindowNotify : отслеживает открытые окна на наличие таких ключевых слов, как «пароль» или «банк», потенциально позволяя осуществлять наблюдение в режиме реального времени или перенаправление.
• PluginClipper : действует как похититель буфера обмена, заменяя любой скопированный адрес криптовалютного кошелька на адрес, контролируемый злоумышленником.

Больше, чем просто RAT: встречайте PureCrypter и PureLogs

Сложность не заканчивается на PureRAT. Первоначальный исполняемый файл также развертывает другой компонент под названием «StilKrip.exe». Это не вредоносное ПО, разработанное с нуля, а коммерчески доступный загрузчик под названием PureCrypter , активный с 2022 года и часто используемый в преступных кампаниях для сброса дополнительных угроз.

PureCrypter извлекает и выполняет файл, известный как "Bghwwhmlr.wav", который продолжает цепочку, снова вызывая InstallUtil.exe. В конечном итоге это приводит к выполнению файла с именем "Ttcxxewxtly.exe", который извлекает финальную полезную нагрузку: стиллер PureLogs.

PureLogs — это комплексный инструмент сбора информации, который сканирует браузеры и почтовые клиенты, приложения VPN, менеджеры паролей и криптовалютные кошельки. Он даже может собирать учетные данные из FTP-клиентов, таких как FileZilla и WinSCP.

Последствия для организаций и киберзащиты

Что отличает PureRAT, так это его модульная структура и тихая настойчивость. Это не просто инфекция — это платформа, которая предоставляет злоумышленникам почти полный контроль над скомпрометированной системой. От мониторинга нажатий клавиш и управления веб-камерами до скрытого майнинга данных, вредоносная программа позволяет осуществлять широкий спектр кибершпионских действий.

Для предприятий, особенно в секторах, обрабатывающих конфиденциальные данные, это означает повышенный риск не только кражи данных, но и потенциальных сбоев в работе. Скомпрометированная система может оставаться вне поля зрения в течение недель или месяцев, позволяя злоумышленникам постоянно выкачивать ценную информацию.

Защита от невидимого захватчика

Основной точкой входа для PureRAT остаются фишинговые письма. Это подчеркивает критическую необходимость в надежных протоколах безопасности электронной почты, обучении пользователей и решениях по защите конечных точек. Организациям следует сосредоточиться на мониторинге необычной активности, внедрении многофакторной аутентификации и поддержании систем и программного обеспечения в актуальном состоянии.

Эксперты по кибербезопасности также рекомендуют изолировать вложения электронной почты и применять поведенческие методы обнаружения, которые позволяют выявлять вредоносные программы, даже если они используют легитимные системные инструменты, такие как InstallUtil.exe, для сокрытия своих следов.

Тревожный сигнал, а не повод для паники

Рост популярности PureRAT и связанных с ним компонентов, таких как PureCrypter и PureLogs, свидетельствует об эволюции тактики вредоносного ПО — которая объединяет социальную инженерию, легитимные инструменты и готовые компоненты в мощную угрозу. Однако при наличии осведомленности, подготовки и правильной позиции безопасности организации могут эффективно защищаться от этих сложных угроз. Цель состоит не в том, чтобы вселять страх, а в том, чтобы поощрять бдительность и осознанные действия перед лицом все более сложных киберкампаний.