Le organizzazioni russe sono diventate l’obiettivo di una campagna di phishing che distribuisce malware chiamato Purerat, secondo i nuovi risultati di Kaspersky.
“La campagna rivolta alle attività russe è iniziata nel marzo 2023, ma nel primo terzo del 2025 il numero di attacchi quadruplicati rispetto allo stesso periodo del 2024”, il fornitore della sicurezza informatica disse.
Le catene di attacco, che non sono state attribuite a nessun attore di minaccia specifico, iniziano con un’e -mail di phishing che contiene un allegato di file RAR o un collegamento all’archivio che si maschera come una parola Microsoft o un documento PDF facendo uso di doppie estensioni (“DOC_054_ (redatto) .pdf.rar”).
Presente all’interno del file di archivio è un eseguibile che, una volta lanciato, si copia nella posizione “%appdata%” della macchina Home windows compromessa sotto il nome “process.exe” e crea uno script di base visivo chiamato “process.vbs” nella cartella VBS di avvio.
L’eseguibile procede quindi a disimballare un altro “ckcfb.exe” eseguibile, esegue l’utilità di sistema “InstallaTutil.exe” e inietta in esso il modulo decrittografato. “Ckcfb.exe”, per la sua parte, estrae e decritta un file DLL “spydgozoi.dll” che incorpora il carico utile principale del malware Purerat.
Purerat stabilisce connessioni SSL con un server di comando e controllo (C2) e trasmette le informazioni di sistema, inclusi i dettagli sui prodotti antivirus installati, il nome del pc e il tempo trascorso dall’avvio del sistema. In risposta, il server C2 invia moduli ausiliari per eseguire una varietà di azioni dannose –
- Pluginpcoption, che è in grado di eseguire i comandi per auto-delezione, riavviare il file eseguibile e spegnere o riavviare il pc
- Pluginwindownotify, che controlla il nome della finestra attiva per parole chiave come password, banca, whatsapp ed eseguire azioni di follow-up applicable come trasferimenti di fondi non autorizzati
- Pluginclipper, che funziona come a Malware Clipper Sostituendo gli indirizzi del portafoglio di criptovaluta copiati negli appunti del sistema con uno controllato dagli attaccanti
“Il Trojan embrace moduli per il obtain e l’esecuzione di file arbitrari che forniscono pieno accesso al file system, al registro, ai processi, alla telecamera e al microfono, all’implementazione della funzionalità di keylogger e offrono agli aggressori la possibilità di controllare segretamente il pc usando il principio desktop remoto”, ha affermato Kaspersky.
L’eseguibile originale che lancia “ckcfb.exe” contemporaneamente estrae anche un secondo binario denominato “Stilkrip.exe”, che è un downloader disponibile in commercio soprannominato PureCrypter Questo è stato usato per consegnare vari carichi utili in passato. È attivo dal 2022.
“Stilkrip.exe” è progettato per scaricare “bghwwhmlr.wav”, che segue la sequenza di attacchi sopra menzionata per eseguire “installutil.exe” e alla superb lanciare “ttcxxewxtly.exe”, un eseguibile che non riempiono e gestisce un payload DLL chiamato pureaks (“bftvbho.dll”).
Purelogs è un Stealer di informazioni normal Ciò può raccogliere dati da browser Internet, shopper di posta elettronica, servizi VPN, app di messaggistica, estensioni del browser del portafoglio, gestori di password, app per il portafoglio di criptovaluta e altri programmi come Filezilla e WinSCP.
“Il furto di Purerat Backdoor e PureLogs ha un’ampia funzionalità che consente agli aggressori di ottenere un accesso illimitato ai sistemi infetti e ai dati riservati dell’organizzazione”, ha affermato Kaspersky. “Il principale vettore di attacchi alle aziende è stato e rimane e -mail con allegati o collegamenti dannosi.”
