Kaspersky’nin yeni bulgularına göre, Rus örgütleri Purerat adı verilen kötü amaçlı yazılımları dağıtan bir kimlik avı kampanyasının hedefi haline geldi.
Siber güvenlik satıcısı, “Rus işini hedefleyen kampanya Mart 2023’te başladı, ancak 2025’in ilk üçte birinde, 2024’teki aynı dönemle karşılaştırıldığında dörtlü saldırı sayısı.” Dedi.
Herhangi bir belirli tehdit oyuncusuna atfedilmeyen saldırı zincirleri, bir RAR dosya eki veya çift uzantılardan (“DOC_054_ kullanarak bir PDF belgesi olarak maskelenen bir arşiv bağlantısı içeren bir kimlik avı e -postasıyla başlar (” DOC_054_[redacted].pdf.rar “).
Arşiv dosyasında mevcut, başlatıldığında, kendisini “Task.exe” adı altında tehlikeye atılan Windows makinesinin “%AppData%” konumuna kopyalayan ve başlangıç VBS klasöründe “Task.vbs” adlı bir görsel temel komut dosyası oluşturan bir yürütülebilir dosyadır.
Daha sonra yürütülebilir, başka bir yürütülebilir “ckcfb.exe” ni açmaya devam eder, “installUtil.exe” sistemini çalıştırır ve şifre çözülmüş modülü enjekte eder. “CKCFB.EXE”, Purerat kötü amaçlı yazılımların ana yükünü içeren bir DLL dosyası “Spydgozoi.dll” dosyasını çıkarır ve şifresini çözer.
Purerat, bir komut ve kontrol (C2) sunucusu ile SSL bağlantıları oluşturur ve yüklü antivirüs ürünleri, bilgisayar adı ve sistem başlangıcından bu yana geçen süre hakkında ayrıntılar dahil olmak üzere sistem bilgilerini iletir. Yanıt olarak, C2 sunucusu çeşitli kötü amaçlı eylemler gerçekleştirmek için yardımcı modüller gönderir –
- Kendini aşınma için komutları yürütebilen, yürütülebilir dosyayı yeniden başlatabilen ve bilgisayarı kapatma veya yeniden başlatma yeteneğine sahip eklenti
- Parola, banka, whatsapp gibi anahtar kelimeler için etkin pencerenin adını kontrol eden ve yetkisiz fon transferleri gibi uygun takip eylemlerini gerçekleştiren PluginWindownotify
- Saldırgan tarafından kontrol edilen bir tane ile sistemin panosuna kopyalanan kripto para cüzdanı yerine geçerek bir kesme makinesi kötü amaçlı yazılım olarak işlev gören eklenticipper
Kaspersky, “Trojan, dosya sistemine, kayıt defterine, işlemlere, kamera ve mikrofona tam erişim sağlayan, keylogger işlevselliğini uygulayan ve saldırganlara uzak masaüstü prensibini kullanarak bilgisayarı gizlice kontrol etme yeteneği veren keyfi dosyaları indirmek ve çalıştırmak için modüller içeriyor.” Dedi.
“CKCFB.EXE” ü başlatan orijinal yürütülebilir, aynı zamanda, geçmişte çeşitli yükler sunmak için kullanılan purecrypter olarak adlandırılan ticari olarak mevcut bir indirici olan “stilkrip.exe” olarak adlandırılan ikinci bir ikili çıkarır. 2022’den beri aktif.
“Stilkrip.exe”, “InstallUtil.exe” i çalıştırmak için yukarıda belirtilen saldırı dizisini takip eden “bghwwhmmlr.wav” ı indirmek için tasarlanmıştır ve sonuçta “ttcxxexxtly.exe”, paket açan ve Purelogs adlı bir dll yükü çalıştıran bir yürütülebilir yük (“bftvvbho.dll” adlı bir dll yükü çalıştırır.
Purelogs, web tarayıcılarından, e-posta istemcileri, VPN hizmetleri, mesajlaşma uygulamaları, cüzdan tarayıcısı uzantıları, şifre yöneticileri, kripto para birimi cüzdan uygulamaları ve FileZilla ve WINSCP gibi diğer programlardan veri toplayabilen hazır bir bilgi çalmacıdır.
Kaspersky, “Purerat arka kapı ve Purelogs stealer, saldırganların enfekte sistemlere ve gizli organizasyon verilerine sınırsız erişim kazanmalarını sağlayan geniş işlevselliğe sahiptir.” Dedi. Diyerek şöyle devam etti: “İşletmelere yönelik saldırıların ana vektörü, kötü niyetli ekler veya bağlantılar içeren e -postalar olmuştur ve olmaya devam etmektedir.”