Недавний отчет "Лаборатории Касперского" подсветил значительный (вчетверо!) всплеск активности семейства вредоносного ПО Pure, нацеленного на российские организации. Кампания, тянущаяся с марта 2023 года, демонстрирует классические, но отточенные методики доставки и исполнения, совмещая функционал RAT (PureRAT) и стилера (PureLogs). Рассмотрим технические аспекты этой угрозы, базируясь на предоставленных данных.
Вектор Проникновения: Классика Фишинга с Нюансами
Атаки начинаются с фишинговых писем – неизменная классика. Приманкой служат RAR-архивы, либо ссылки на них. Именование файлов нацелено на бухгалтерию и документооборот: "doc", "akt", "sverka", "buh", "oplata". Особо стоит отметить использование двойных расширений (.pdf.rar, например, doc_054_[redacted].pdf.rar), рассчитанное на невнимательность пользователя и стандартные настройки Проводника Windows, скрывающие известные расширения.Цепочка Заражения: Многоступенчатая Доставка и Исполнение
Разберем типичный сценарий заражения, описанный исследователями:- Первичный Загрузчик (внутри RAR):
- Исполняемый файл (часто с расширением .scr, маскирующийся под документ).
- При запуске:
- Копирует себя в %AppData%\Task.exe.
- Создает VBS-скрипт Task.vbs в папке автозагрузки (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup или аналогичной для всех пользователей) для обеспечения персистентности. Содержимое VBS банально: CreateObject("WScript.Shell").Run """C:\Users\<UserName>\AppData\Roaming\Task.exe""".
- Извлекает из своих ресурсов StilKrip.exe (компонент PureCrypter) во временную папку и запускает его. К этому этапу мы вернемся, он инициирует ветку PureLogs.
- Развертывание PureRAT:
- Параллельно с StilKrip.exe, первичный загрузчик извлекает и расшифровывает еще один PE-файл – Ckcfb.exe.
- Запускается легитимная системная утилита InstallUtil.exe (часто используется для обхода Application Whitelisting и как process hollowing target).
- Расшифрованный модуль (не сам Ckcfb.exe, а его полезная нагрузка) инжектируется в процесс InstallUtil.exe.
- Уже из контекста InstallUtil.exe, Ckcfb.exe (или его инжектированная часть) извлекает из ресурсов и расшифровывает DLL Spydgozoi.dll – это и есть основной модуль PureRAT.
Функционал PureRAT
- C2 Коммуникации:
- SSL-соединения с командным сервером.
- Данные передаются в формате protobuf, упакованном gzip.
- Телеметрия: ID зараженной машины, установленный антивирус, версия ОС, имя пользователя/компьютера, версия трояна, IP/порт C2, путь к исполняемому модулю, системный аптайм.
- Плагинная Архитектура: C2 сервер доставляет модули по необходимости. В исследованном образце замечены:
- PluginPcOption: Функции самоликвидации, перезапуска исполняемого файла, выключения/перезагрузки ПК через cmd.exe /c shutDown /r /t 0 или /s.
- PluginWindowNotify: Мониторинг заголовков активных окон на ключевые слова (банки, "пароль", "пароли", WhatsApp, URL финансовых сервисов). При совпадении – скриншот и отправка на C2. Это позволяет оператору вовремя подключиться к системе для ручного вмешательства (например, через функционал удаленного рабочего стола).
- PluginClipper: Мониторинг буфера обмена на предмет криптовалютных адресов (используются регулярные выражения). При обнаружении – подмена на адрес атакующего и отправка отчета (оригинал, подмена, скриншот) на C2. Список кошельков для подмены (BTC, LTC, ETH, RVN, XMR, BCH, ADA, TRX) жестко задан или приходит с C2. Исследователи отмечают, что для целевых атак на бизнес это выглядит как "стандартный" плагин, который просто не стали отключать.
- Полный Арсенал (не все плагины получены в данном исследовании, но заявлены): Загрузка/запуск произвольных файлов, полный доступ к файловой системе, реестру, процессам, камере/микрофону, кейлоггер, скрытое управление через эмуляцию удаленного рабочего стола.
Вторая Ветвь: PureCrypter и PureLogs
Вернемся к StilKrip.exe, запущенному на первом этапе. Это первый компонент коммерческого загрузчика PureCrypter.- PureCrypter (Этап 1 - StilKrip.exe):
- Скачивает файл Bghwwhmlr.wav с URL вроде https[:]//apstori[.]ru/panel/uploads/Bghwwhmlr.wav. Расширение .wav – маскировка, файл является исполняемым.
- Расшифровывает и исполняет скачанный файл в памяти собственного процесса. Никаких артефактов на диске на этом этапе не создается.
- PureCrypter (Этап 2 - Bghwwhmlr.wav):
- Копирует StilKrip.exe (первый компонент) в %AppData%\Action.exe.
- Создает Action.vbs в автозагрузке для персистентности этой ветви.
- Запускает InstallUtil.exe.
- Извлекает из своих ресурсов третий компонент PureCrypter, Ttcxxewxtly.exe, и инжектирует его в процесс InstallUtil.exe.
- PureCrypter (Этап 3 - Ttcxxewxtly.exe):
- Его задача – извлечь, расшифровать и распаковать из своих ресурсов финальную полезную нагрузку – DLL Bftvbho.dll (стилер PureLogs).
- Запускает PureLogs в памяти того же процесса InstallUtil.exe и передает ему управление.
Функционал PureLogs
- C2 Коммуникации:
- Протокол схож с PureRAT (protobuf + gzip), но без SSL.
- Передаваемые данные шифруются с использованием 3DES.
- Загружает с C2 основной модуль стилера, ClassLibrary1.dll.
- Сбор Данных:
- Браузеры (Chromium, Gecko): куки, пароли, история, данные автозаполнения.
- Почтовые клиенты: Foxmail, Mailbird, Outlook, MailMaster.
- FTP/SCP клиенты: FileZilla, WinSCP.
- Мессенджеры: Discord, Pidgin, Signal, Telegram.
- VPN-клиенты: OpenVPN, Proton VPN.
- Приложения: Steam, DownloadManager, OBS Studio, ngrok.
- Криптовалютные кошельки (браузерные расширения): Обширный список, включающий MetaMask, Binance Chain Wallet, Trust Wallet, Phantom, Yoroi, TronLink и многие другие.
- Менеджеры паролей (браузерные расширения): 1Password, LastPass, Bitwarden, Dashlane, Keeper, NordPass и т.д.
- Десктопные криптовалютные кошельки: Bitcoin, Ethereum, Litecoin, Monero (MyMonero), Electrum, Exodus, AtomicWallet и другие.
- Дополнительные Возможности:
- Функционал загрузчика: по команде с C2 может скачивать файлы по URL и запускать их.
- Сбор файлов: может собирать файлы по указанным путям и отправлять на C2. Эта функция особенно опасна в корпоративной среде.
Ключевые Технические Аспекты и Наблюдения
- MaaS (Malware-as-a-Service): Семейство Pure распространяется как сервис, что снижает порог входа для атакующих.
- Process Injection: Активное использование InstallUtil.exe для запуска вредоносного кода в контексте легитимного, подписанного Microsoft процесса.
- Многоступенчатость и In-Memory Execution: Затрудняет обнаружение и анализ, минимизирует артефакты на диске.
- Персистентность: Через VBS-скрипты в автозагрузке – простой, но эффективный метод.
- Маскировка: Использование нетипичных расширений (.wav для EXE), двойных расширений.
- Двойной Удар: Комбинация RAT (для полного контроля) и стилера (для быстрой кражи ценных данных) делает эту связку особенно опасной. PureLogs сам по себе может выступать как загрузчик для дальнейших модулей.
- Протоколы Обмена: Protobuf + gzip – не самый экзотический, но и не plaintext HTTP, что требует специфических инструментов для анализа трафика. Шифрование (SSL у PureRAT, 3DES у PureLogs) дополнительно усложняет перехват.