Phần mềm độc hại PureRAT
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch lừa đảo lớn nhắm vào các tổ chức của Nga, phát tán phần mềm độc hại cửa sau có tên là PureRAT. Mặc dù chiến dịch bắt đầu vào tháng 3 năm 2023, nhưng đã chứng kiến sự gia tăng đột biến vào đầu năm 2025, tăng gấp bốn lần số lượng các cuộc tấn công được ghi nhận trong cùng kỳ năm 2024. Mặc dù không xác định được tác nhân đe dọa cụ thể nào, nhưng các phương pháp và phần mềm độc hại được sử dụng cho thấy một hoạt động được phối hợp chặt chẽ.
Mục lục
Giao hàng lừa đảo: Giải phẫu của cuộc tấn công
Cuộc tấn công bắt đầu bằng một email lừa đảo có chứa tệp lưu trữ .RAR hoặc liên kết tải xuống. Được ngụy trang bằng phần mở rộng kép gây hiểu lầm (ví dụ: doc_054_[redacted].pdf.rar), tệp lưu trữ giả mạo là tệp Microsoft Word hoặc PDF. Khi nạn nhân mở tệp, một tệp thực thi bên trong sẽ được khởi chạy.
Tệp thực thi này thực hiện một số hành động ẩn:
- Sao chép chính nó vào %AppData% dưới dạng task.exe
- Tạo một tập lệnh Task.vbs trong thư mục Startup để duy trì
- Trích xuất và chạy ckcfb.exe
Đổi lại, ckcfb.exe tiến hành sử dụng InstallUtil.exe để thực thi một mô-đun đã giải mã. Nó cũng giải mã và tải Spydgozoi.dll, chứa tải trọng PureRAT chính.
Điều khiển từ xa: PureRAT có thể làm gì
Sau khi chiếm được chỗ đứng, PureRAT thiết lập kết nối được mã hóa với máy chủ Command-and-Control (C2) và chuyển tiếp thông tin hệ thống. Sau đó, nó có thể nhận và thực thi các mô-đun bị hỏng, chẳng hạn như:
PluginPcOption
- Thực hiện tự xóa
- Khởi động lại các tiến trình phần mềm độc hại
- Tắt hoặc khởi động lại hệ thống
PluginWindowNotify
- Giám sát các cửa sổ đang hoạt động để tìm các từ khóa nhạy cảm (ví dụ: mật khẩu, ngân hàng)
- Có thể khởi tạo các hành động như chuyển tiền trái phép
PluginClipper
- Thay thế địa chỉ ví tiền điện tử đã sao chép bằng địa chỉ do kẻ tấn công kiểm soát
Ngoài ra, PureRAT còn cung cấp cho kẻ tấn công:
- Ghi phím
- Điều khiển máy tính từ xa
- Truy cập vào các tập tin, sổ đăng ký, camera, micrô và các tiến trình đang chạy
Nhiễm trùng theo lớp: Không chỉ là PureRAT
Tệp thực thi ban đầu cũng trích xuất StilKrip.exe, một trình tải xuống thương mại được gọi là PureCrypter đã được lưu hành từ năm 2022. Công cụ này tiếp tục tải xuống tệp thứ cấp, Bghwwhmlr.wav, kích hoạt chuỗi thực thi mới. Chuỗi này cuối cùng khởi chạy Ttcxxewxtly.exe, dẫn đến việc kích hoạt Bftvbho.dll, thành phần cốt lõi của chủng phần mềm độc hại thứ hai được gọi là PureLogs.
PureLogs hoạt động như một công cụ đánh cắp thông tin mạnh mẽ. Khi hoạt động, nó âm thầm thu thập nhiều loại dữ liệu nhạy cảm, bao gồm thông tin đăng nhập và thông tin người dùng từ trình duyệt web, ứng dụng email, dịch vụ VPN và ứng dụng nhắn tin. Nó cũng nhắm mục tiêu vào các trình quản lý mật khẩu, ứng dụng ví tiền điện tử và các công cụ truyền tệp được sử dụng rộng rãi như FileZilla và WinSCP, cho phép kẻ tấn công truy cập sâu vào cả dữ liệu cá nhân và dữ liệu của tổ chức.
Kết luận: Email vẫn là liên kết yếu nhất
Sự kết hợp của PureRAT và PureLogs cung cấp cho tội phạm mạng khả năng mở rộng để do thám, thu thập và kiểm soát các hệ thống bị xâm phạm. Việc sử dụng liên tục các email lừa đảo có tệp đính kèm hoặc liên kết có hại vẫn là điểm vào chính, nhấn mạnh nhu cầu quan trọng về bộ lọc email mạnh mẽ và nhận thức của người dùng trong các biện pháp phòng thủ an ninh mạng của tổ chức.
