Чистый вред: PureRAT атакует российские организации

В последнее время участились атаки на российские организации с использованием вредоносного ПО Pure. Это семейство впервые обнаружено в середине 2022 года и распространяется по модели Malware-as-a-Service, то есть любой желающий может купить и использовать его по своему усмотрению. Кампания, нацеленная на российский бизнес, началась еще в марте 2023 года, однако в первой трети 2025 года число атак выросло в четыре раза по сравнению с аналогичным периодом 2024-го.

Основной механизм распространения Pure в рамках этой кампании — спам с вредоносным вложением в виде RAR-архива или ссылкой на архив. При этом в именах файлов используются характерные шаблонные слова — в основном это сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой. Чаще всего мы встречали такие ключевые слова, как «doc», «akt», «акт», «sverka», «сверка», «buh», «oplata», «оплата» и другие. Кроме того, злоумышленники используют двойное расширение .pdf.rar.
В таблице приведены примеры использованных имен.

Схема заражения

Мы решили разобрать один из свежих образцов Pure, замеченных в этой кампании. Как мы уже упоминали, атака начинается со спам-письма с архивом, внутри которого находится исполняемый файл, маскирующийся под PDF-документ. При запуске файл копирует себя в %AppData% под именем Task.exe, создает в папке Startup VBS-скрипт Task.vbs для автозапуска и извлекает из ресурсов исполняемый файл StilKrip.exe, к которому мы вернемся чуть позже.

Содержимое VBS-скрипта

После этого троянец извлекает из ресурсов и расшифровывает еще один исполняемый файл, Ckcfb.exe, запускает системную утилиту InstallUtil.exe и внедряет в ее процесс расшифрованный модуль. Ckcfb.exe, в свою очередь, извлекает из ресурсов и расшифровывает библиотеку Spydgozoi.dll, которая и содержит основной модуль бэкдора PureRAT.

Для общения с командным сервером PureRAT устанавливает SSL-соединения и передает сообщения в формате protobuf, упакованные в gzip. В них содержатся следующие данные: идентификатор зараженного устройства, имя установленного антивирусного продукта, версия ОС, имя пользователя и компьютера, версия троянца, IP-адрес и порт С2, путь до исполняемого модуля и время, прошедшее с момента старта системы.

Пример сообщения, отправляемого на С2 в формате protobuf

В ответ от С2 приходит несколько сообщений, содержащих дополнительные модули (плагины) и конфигурацию к ним. PureRAT может подгружать несколько десятков дополнительных модулей, но в текущей кампании мы получили только три.

PluginPcOption

Модуль способен выполнять команды на самоудаление, перезапуск текущего исполняемого файла, а также выключать или перезагружать компьютер при помощи следующих команд:

• cmd.exe /c shutDown /r /t 0
• cmd.exe /c shutDown /s /t 0

PluginWindowNotify

Модуль постоянно проверяет имя активного окна на наличие интересующих строк, которые получает в файле конфигурации. При обнаружении таких окон он делает скриншот. Полное имя окна, найденная в нем ключевая строка и скриншот отправляются на С2.

В текущей компании плагин получил строку конфигурации, содержащую URL-адреса и названия ряда банков и финансовых сервисов, а также такие ключевые слова, как «пароль», «пароли», «банк» и WhatsApp, разделенные символами «,,,».

Код основной функции плагина

Подобная функциональность может использоваться для своевременного оповещения оператора ботнета о том, что пользователь начал работать с финансовым сервисом. Получив такое оповещение, злоумышленник может подключиться к зараженному устройству в режиме удаленного стола, получить доступ к запущенному сервису и вывести средства или совершить другую вредоносную операцию.

PluginClipper

Плагин постоянно проверяет буфер обмена на наличие текста, похожего на адрес криптокошелька. Обнаружив подходящие данные, он подменяет содержимое буфера обмена и делает скриншот. Информация об оригинальном и подменном адресах вместе со скриншотом отправляется на С2.

Список регулярных выражений, используемых плагином для определения кошельков

В таблице ниже представлен список кошельков для подмены, получаемых плагином:

Стоит отметить, что в целевых атаках на бизнес подобная функциональность выглядит необычно. Вероятнее всего, это плагин из стандартной комплектации бэкдора, который злоумышленники не стали удалять.

Несмотря на то что в рамках текущего исследования нам удалось получить ограниченное количество плагинов PureRAT, полный набор позволяет злоумышленникам получить полный контроль над зараженной системой. В состав троянца входят модули для скачивания и запуска произвольных файлов, которые предоставляют полный доступ к файловой системе, реестру, процессам, камере и микрофону, реализуют функциональность кейлоггера, и дают злоумышленникам возможность скрытно управлять компьютером по принципу удаленного рабочего стола.

PureLogs

Как мы уже упоминали, в самом начале цепочки заражения исходный вредоносный файл извлекает из вложенных ресурсов файл StilKrip.exe. Он сохраняет его во временную папку и запускает. Этот файл представляет собой первый компонент PureCrypter — еще одного вредоносного семейства, созданного разработчиками PureRAT. В задачи семейства входит скачивание полезной нагрузки, внедрение ее в нужный процесс или извлечение исполняемого файла на диск с последующим запуском, а также установка различных методов автозапуска и проверка окружения на отладку или виртуальную среду.

StilKrip.exe выкачивает файл Bghwwhmlr.wav, который является исполняемым, несмотря на расширение .wav в имени. Маскировка вредоносных компонентов под медиафайлы часто используется в PureRAT и другом ПО тех же разработчиков. Скачав файл, StilKrip.exe расшифровывает его и выполняет. При этом все действия он совершает в памяти собственного процесса, и на диске ничего не создается.

Скачанный модуль является вторым компонентом PureCrypter, который копирует StilKrip.exe в папку %AppData% под именем Action.exe и создает в папке Startup VBS-скрипт Action.vbs для автозапуска. После этого он запускает системную утилиту InstallUtil.exe, извлекает из своих ресурсов следующий (третий) компонент с внутренним именем Ttcxxewxtly.exe и внедряет его в запущенный процесс. Назначение третьего компонента предельно простое: извлечь, расшифровать и распаковать из своих ресурсов финальную полезную нагрузку, запустить ее в памяти все того же процесса InstallUtil.exe, а затем передать ей управление. В качестве полезной нагрузки выступает файл с внутренним именем Bftvbho.dll, относящийся к семейству стилеров PureLogs.

Внедренный в InstallUtil компонент PureLogs относится к базовому модулю — загрузчику — и для полноценной кражи данных скачивает с С2 основной модуль с внутренним именем ClassLibrary1.dll. Общение с С2 происходит по протоколу, схожему с тем, что использует PureRAT: данные упаковываются в protobuf и сжимаются с помощью gzip. При этом в коммуникации PureLogs отсутствует установка SSL-соединения. Вместо этого передаваемые данные шифруются по алгоритму 3DES.

Схема заражения PureLogs

Помимо стандартной функциональности по краже учетных данных и чувствительной информации из браузеров на основе движков Chromium и Gecko, PureLogs также похищает информацию из:

• почтовых клиентов Foxmail, Mailbird, Outlook, MailMaster;
• файловых менеджеров FileZilla, WinSCP;
• приложений Steam, DownloadManager, OBS Studio, ngrok;
• мессенджеров Discord, Pidgin, Signal, Telegram;
• VPN-сервисов OpenVPN, Proton VPN.

Также PureLogs интересуется браузерными расширениями, относящимися в основном к криптокошелькам:

или менеджерам паролей:

Помимо этого, PureLogs крадет данные приложений криптокошельков:

Несмотря на то что PureLogs относится к семейству стилеров, он обладает функциональностью загрузчика, то есть по команде с С2 способен выкачивать по переданному URL файл и запускать его. Также он может собирать по переданным путям файлы и отправлять их на С2. В контексте атак на организации эта функциональность может быть опаснее, чем кража данных браузерных расширений и пользовательских приложений.

Пример команды от С2 в формате protobuf на скачивание файла и отправку файлов из каталогов

Заключение

Несмотря на то что злоумышленники используют известное вредоносное ПО в стандартной комплектации, описанная кампания продолжается с марта 2023 года по настоящее время и, вероятнее всего, не прекратится в ближайшем будущем. При этом бэкдор PureRAT и стилер PureLogs обладают широкой функциональностью, позволяющей атакующим получить неограниченный доступ к зараженным системам и конфиденциальным данным организации.

Основным вектором атак на бизнес были и остаются электронные письма с вредоносными вложениями или ссылками. Злоумышленники рассчитывают на неосторожные действия сотрудников, поэтому, чтобы защититься от подобных атак, организациям в первую очередь следует поддерживать осведомленность персонала о безопасности, в том числе о безопасной работе с почтой, на высоком уровне. Автоматизировать защиту от подобного рода атак можно с помощью решений, включающих антиспам- и антифишинг-компоненты.

IoC

9B1A9392C38CAE5DA80FE8AE45D89A67                        doc_15042025_1c_akt_pdf.scr
DD2C1E82C5656FCB67AB8CA95B81A323                        StilKrip.exe

195.26.227.209:56001                                               PureRAT C2
195.26.227.209:23075                                               PureLogs C2

https[:]//apstori[.]ru/panel/uploads/Bghwwhmlr.wav  PureCrypter Payload URL