Компания Huntress Labs обнаружила сложную кампанию кибератак, в которой используется троянский вирус удаленного доступа PureRAT. Атака начинается с фишинговой рассылки и заканчивается развертыванием модулярного .NET вируса, предоставляющего полный контроль над уязвимым компьютером.
PureRAT used in a new cyberattack campaign
Подробный анализ угрозы
Кампания начинается с фишингового письма, в котором присутствует ZIP-архив, замаскированный под уведомление о нарушении авторских прав. В архиве содержится легитимный PDF-ридер и вредоносная версия DLL. Последний использует certutil для декодирования вредоносных компонентов, развертываемых позже.
По данным Huntress Labs, на следующем этапе злоумышленники переходят с Python на .NET. Они используют легитимные исполняемые файлы, такие как RegAsm.exe, для скрытного запуска вредоносного .NET-кода. Промежуточные загрузчики скрывают свою активность, используя шифрование и техники DNS-стеганографии. Конечная цель — это modular PureRAT, который предназначен для глубокого анализа информации о системе и получения удаленного доступа.
Ключевые аспекты
- Кампания началась с фишингового одурачивания, использующего Python-инструменты в качестве межвременного загрузчика.
- Первоначальные преступные нагрузки захватывают пользовательские данные, такие как пароли и куки-браузера, и отсылают их через API Telegram Bot.
- Преступники используют успешную ветку киберпреступности для перехода на закрытые части .NET, предоставляющие расширенные опции слежки и управления системой.
- PureRAT функционирует как динамический загрузчик для модулей, управляемых оператором, включая HVNC и кейлоггинг.
- По данным отчёта, совпадение инфраструктуры указывает на связь с PXA Stealer и вероятно вьетнамскими платёжными процессорами.
Влияние и перспективы
Кампания показывает сложное усложнение обфускации и эскалацию от кастомных инструментариев до коммерчески разработанных вирусов. Использование PureRAT снижает затраты на разработку злоумышленников, обеспечивая при этом расширенные возможности и устойчивость. Для предотвращения подобных угроз требуется многоуровневая защита, включая инструментальное мониторинг поведения системы и методов».
