Russische organisaties zijn het doelwit geworden van een phishing -campagne die malware distribueert genaamd Purerat, volgens nieuwe bevindingen van Kaspersky.
“De campagne gericht op de Russische zaken begon in maart 2023, maar in het eerste derde deel van 2025 verviervoudigd het aantal aanvallen in vergelijking met dezelfde periode in 2024,” zei de leverancier van cybersecurity.
De aanvalsketens, die niet zijn toegeschreven aan een specifieke dreigingsacteur, beginnen met een phishing -e -mail die een RAR -bestandsbijlage of een link naar het archief bevat dat Masquerades als een Microsoft -woord of een PDF -document bevat door gebruik te maken van dubbele extensies (“Doc_054_ (geredigeerd) .pdf.rar”).
Aanwezig in het archiefbestand is een uitvoerbaar bestand dat, wanneer gestart, zichzelf kopieert naar de locatie “%appData%” van de gecompromitteerde Windows -machine onder de naam “Task.exe” en een visuele basiscript met de naam “task.vbs” maakt in de map Startup VBS.
Het uitvoerbare bestand gaat vervolgens verder met het uitpakken van een ander uitvoerbaar “ckcfb.exe”, voert het systeemhulpprogramma “installutil.exe” uit en injecteert er de gedecodeerde module in. “CKCFB.EXE”, van zijn kant, extraheert en decodeert een DLL -bestand “spydgozoi.dll” dat de belangrijkste lading van de purerat -malware bevat.
Purerat legt SSL-verbindingen tot stand met een command-and-control (C2) -server en verzendt systeeminformatie, inclusief details over de geïnstalleerde antivirusproducten, de computernaam en de tijd die is verstreken sinds het opstarten van het systeem. In reactie daarop stuurt de C2 -server hulpmodules om een verscheidenheid aan kwaadaardige acties uit te voeren –
- PlugInpcOption, die in staat is om opdrachten uit te voeren voor zelfverwijzing, het uitvoerbare bestand opnieuw te starten en de computer af te sluiten of opnieuw op te starten
- PlugInwindOwnotify, dat de naam van het actieve venster controleert op trefwoorden zoals wachtwoord, bank, whatsapp en het uitvoeren van geschikte vervolgacties zoals ongeautoriseerde fondsoverdrachten
- PlugInclipper, die functioneert als een clipper-malware door cryptocurrency-portemonnee-adressen te vervangen die naar het klembord van het systeem zijn gekopieerd door een aanvaller gecontroleerde
“De Trojan bevat modules voor het downloaden en uitvoeren van willekeurige bestanden die volledige toegang bieden tot het bestandssysteem, het register, de processen, de camera en de microfoon, keylogger -functionaliteit implementeren en aanvallers de mogelijkheid geven om de computer in het geheim te besturen met behulp van het externe desktopprincipe,” zei Kaspersky.
Het originele uitvoerbare bestand dat “ckcfb.exe” tegelijkertijd lanceert, haalt ook een tweede binair getroffen “stilkrip.exe” uit, een commercieel verkrijgbare downloader genaamd Purecrypter die is gebruikt om in het verleden verschillende payloads te leveren. Het is actief sinds 2022.
“Stilkrip.exe” is ontworpen om “BGHWWHMLR.WAV” te downloaden, “die de bovengenoemde aanvalssequentie volgt om” Installutil.exe “uit te voeren en uiteindelijk” TTCXXEWXTLY.EXE te starten, “een uitvoerbaar uitvoerbaar dat uitpakt en een DLL -payload roept, wordt Purelogs (” BftVBHo.dll “).
Purelogs is een kant-en-klare informatie-stealer die gegevens kan oogsten van webbrowsers, e-mailclients, VPN-services, berichten-apps, portemonnee-browservertensies, wachtwoordbeheerders, cryptocurrency-portemonnee-apps en andere programma’s zoals Filezilla en WinSCP.
“De Purerat Backdoor en Purelogs Stealer hebben een brede functionaliteit waarmee aanvallers onbeperkte toegang kunnen krijgen tot geïnfecteerde systemen en vertrouwelijke organisatiegegevens,” zei Kaspersky. “De belangrijkste vector van aanvallen op bedrijven is en blijft e -mails met kwaadaardige bijlagen of links.”
