卡巴斯基报告:俄罗斯企业遭 PureRAT 恶意软件攻击
HackerNews 编译,转载请注明出处: 卡巴斯基最新研究发现,俄罗斯企业正成为传播PureRAT恶意软件的钓鱼活动目标。该网络安全公司表示:“针对俄罗斯企业的攻击活动始于2023年3月,但2025年前三个月的攻击数量较2024年同期激增四倍。” 尚未归因于任何特定威胁行为体的攻击链始于包含RAR文件附件或存档链接的钓鱼邮件,攻击者通过使用双扩展名(如“doc_054_[已编辑].pdf.rar”)将文件伪装成微软Word或PDF文档。存档文件内包含可执行程序,当启动时会将自身复制到受感染Windows设备的“%AppData%”目录下并重命名为“task.exe”,同时在启动VBS文件夹中创建名为“Task.vbs”的Visual Basic脚本。 随后该可执行程序开始解压另一个名为“ckcfb.exe”的可执行文件,运行系统工具“InstallUtil.exe”,并向其中注入解密后的模块。“ckcfb.exe”则会提取并解密包含PureRAT恶意软件主载荷的DLL文件“Spydgozoi.dll”。PureRAT通过与命令控制(C2)服务器建立SSL连接传输系统信息,包括已安装的杀毒软件详情、计算机名称和系统启动后的运行时间。作为响应,C2服务器会发送多种执行恶意操作的辅助模块: PluginPcOption:可执行自删除命令、重启可执行文件以及关闭或重启计算机。 PluginWindowNotify:检查活动窗口名称是否包含“密码”、“银行”、“WhatsApp”等关键词,并执行未经授权的资金转移等后续操作。 PluginClipper:作为剪切板劫持恶意软件,将系统剪贴板中的加密货币钱包地址替换为攻击者控制的地址。 卡巴斯基指出:“该木马包含下载和运行任意文件的模块,可完全访问文件系统、注册表、进程、摄像头和麦克风,实现键盘记录功能,并允许攻击者通过远程桌面原理秘密控制计算机。” 启动“ckcfb.exe”的原始可执行文件还会同时提取第二个名为“StilKrip.exe”的二进制文件,这是被称为PureCrypter的商业化下载器,自2022年以来被用于投递各种有效载荷。“StilKrip.exe”被设计用于下载“Bghwwhmlr.wav”文件,该文件通过上述攻击流程运行“InstallUtil.exe”,最终启动名为“Ttcxxewxtly.exe”的可执行程序,该程序会解压并运行名为PureLogs的DLL载荷(“Bftvbho.dll”)。 PureLogs是一款现成的信息窃取程序,可从网络浏览器、电子邮件客户端、VPN服务、即时通讯应用、钱包浏览器扩展、密码管理器、加密货币钱包应用以及FileZilla和WinSCP等其他程序中窃取数据。卡巴斯基强调:“PureRAT后门和PureLogs窃取程序具有广泛功能,可使攻击者无限访问受感染系统和机密组织数据。带有恶意附件或链接的电子邮件始终是企业遭受攻击的主要途径。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文