Organisasi Rusia telah menjadi target kampanye phishing yang mendistribusikan malware yang disebut Purerat, menurut temuan baru dari Kaspersky.
“Kampanye yang ditujukan untuk bisnis Rusia dimulai pada bulan Maret 2023, tetapi pada sepertiga pertama tahun 2025 jumlah serangan empat kali lipat dibandingkan dengan periode yang sama pada tahun 2024,” kata vendor cybersecurity.
Rantai serangan, yang belum dikaitkan dengan aktor ancaman tertentu, dimulai dengan email phishing yang berisi lampiran file RAR atau tautan ke arsip yang menyamar sebagai kata Microsoft atau dokumen PDF dengan memanfaatkan ekstensi ganda (“DOC_054_[redacted].pdf.rar “).
Hadir dalam file arsip adalah yang dapat dieksekusi yang, ketika diluncurkan, menyalin dirinya sendiri ke lokasi “%appData%” dari mesin Windows yang dikompromikan dengan nama “Task.exe” dan membuat skrip dasar visual yang disebut “Task.VBS” di folder Startup VBS.
Yang dapat dieksekusi kemudian melanjutkan untuk membongkar “ckcfb.exe” yang dapat dieksekusi lainnya, menjalankan utilitas sistem “installutil.exe,” dan menyuntikkan ke dalamnya modul yang didekripsi. “Ckcfb.exe,” untuk bagiannya, mengekstrak dan mendekripsi file dll “spydgozoi.dll” yang menggabungkan muatan utama malware purerat.
Purerat membuat koneksi SSL dengan server perintah-dan-kontrol (C2) dan mengirimkan informasi sistem, termasuk perincian tentang produk antivirus yang diinstal, nama komputer, dan waktu berlalu sejak startup sistem. Sebagai tanggapan, server C2 mengirimkan modul tambahan untuk melakukan berbagai tindakan jahat –
- Pluginpcoption, yang mampu mengeksekusi perintah untuk penghapusan diri, memulai kembali file yang dapat dieksekusi, dan mematikan atau mem-boot ulang komputer
- PluginWindOwntify, yang memeriksa nama jendela aktif untuk kata kunci seperti kata sandi, bank, whatsapp, dan melakukan tindakan tindak lanjut yang sesuai seperti transfer dana yang tidak sah
- Pluginclipper, yang berfungsi sebagai malware clipper dengan mengganti alamat dompet cryptocurrency yang disalin ke papan klip sistem dengan yang dikendalikan oleh penyerang
“Trojan menyertakan modul untuk mengunduh dan menjalankan file sewenang -wenang yang menyediakan akses penuh ke sistem file, registri, proses, kamera dan mikrofon, mengimplementasikan fungsionalitas keylogger, dan memberi penyerang kemampuan untuk secara diam -diam mengontrol komputer menggunakan prinsip desktop jarak jauh,” kata Kaspersky.
Eksekusi asli yang meluncurkan “ckcfb.exe” secara bersamaan juga mengekstraksi biner kedua yang disebut sebagai “stilkrip.exe,” yang merupakan pengunduh yang tersedia secara komersial dijuluki Purecrypter yang telah digunakan untuk memberikan berbagai muatan di masa lalu. Itu aktif sejak 2022.
“Stilkrip.exe” dirancang untuk mengunduh “bghwwhmlr.wav,” yang mengikuti urutan serangan yang disebutkan di atas untuk menjalankan “installutil.exe” dan akhirnya meluncurkan “ttcxxewxtly.exe,” yang dapat dieksekusi yang membongkar dan menjalankan payload DLL yang disebut purelogs (“bftvbh (” bftvbh (“bftvbh”.
Purelogs adalah pencuri informasi di luar rak yang dapat memanen data dari browser web, klien email, layanan VPN, aplikasi pengiriman pesan, ekstensi browser dompet, manajer kata sandi, aplikasi dompet cryptocurrency, dan program lain seperti Filezilla dan Winscp.
“Purerat backdoor dan pencuri Purelogs memiliki fungsionalitas luas yang memungkinkan penyerang untuk mendapatkan akses tak terbatas ke sistem yang terinfeksi dan data organisasi rahasia,” kata Kaspersky. “Vektor utama serangan terhadap bisnis adalah dan tetap menjadi email dengan lampiran atau tautan berbahaya.”
