Pure 恶意软件通过恶意软件即服务 (MaaS) 模型分发,使网络犯罪分子能够轻松购买和部署它。
虽然该活动于 2023 年 3 月开始,但 2025 年上半年的攻击数量与 2024 年同期相比增长了惊人的四倍,凸显了攻击者日益增长的胆量和技术实力。
主要的分发方法仍然是包含恶意 RAR 档案或此类档案链接的垃圾邮件,通常伪装成合法的会计文件,文件名包含“doc”、“akt”、“sverka”、“buh”和“oplata”等关键字,以及“.pdf.rar”等欺骗性双扩展名,以诱骗毫无戒心的用户执行有效负载。
纯恶意软件攻击激增
深入研究感染机制,攻击从垃圾邮件附件开始,一旦打开,就会释放一个伪装成 PDF 的可执行文件。
根据安全列表报告,此文件将自身作为“Task.exe”复制到 %AppData% 目录,通过 Startup 文件夹中的 VBS 脚本建立持久性,并提取其他恶意组件,如“StilKrip.exe”,PureCrypter 系列的一部分。
感染链随着更多模块的解密和执行而进行,例如“Ckcfb.exe”和“Spydgozoi.dll”,这些模块包含核心 PureRAT 后门。
PureRAT 使用 gzip 压缩的 protobuf 消息通过 SSL 与其命令和控制 (C2) 服务器通信,传输关键系统数据,包括设备标识符、作系统版本和已安装的防病毒软件详细信息。
作为回应,C2 服务器部署了“PluginPcOption”等插件进行系统控制,“PluginWindowNotify”用于根据“银行”和“密码”等关键字捕获目标金融服务窗口的屏幕截图,以及“PluginClipper”用于从剪贴板拦截加密货币钱包地址,并将其替换为攻击者控制的地址。
数据盗窃策略
除了 PureRAT,该活动还结合了 PureCrypter 来下载伪装为媒体文件(例如“Bghwwhmlr.wav”)的额外有效负载和 PureLogs,PureLogs 是一个针对来自浏览器、电子邮件客户端、VPN、信使和大量加密货币钱包扩展的凭据的窃取模块。
PureLogs 还可以用作下载器,能够从 C2 服务器获取和执行文件,或从指定目录泄露数据,对组织数据安全构成严重威胁。
这种完全在内存中执行以逃避检测的多层方法凸显了该活动的技术复杂性和意图,即实现对受感染系统的持续、未被发现的访问。
尽管在标准配置中利用了已知的恶意软件,但自 2023 年 3 月以来正在进行的活动没有减弱的迹象,利用员工对电子邮件附件的疏忽。
组织必须优先考虑网络安全意识培训,并部署强大的反垃圾邮件和反网络钓鱼解决方案来应对这些威胁。
PureRAT 和 PureLogs 的广泛功能使攻击者能够对受感染的系统进行近乎无限的控制,从而冒着机密数据被严重泄露的风险。
感染指标 (IoC)
| 指示器 | 描述 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):黑客使用武器化的 RAR 档案在针对性攻击中提供纯恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论