Logiciel malveillant PureRAT

Des chercheurs en cybersécurité ont découvert une importante campagne de phishing ciblant des organisations russes, diffusant un malware de type backdoor appelé PureRAT. Bien que la campagne ait débuté en mars 2023, elle a connu une forte augmentation début 2025, quadruplant le nombre d'attaques observées à la même période en 2024. Bien qu'aucun acteur malveillant spécifique n'ait été identifié, les méthodes et le malware utilisés indiquent une opération hautement coordonnée.

Livraison trompeuse : l’anatomie de l’attaque

L'attaque débute par un e-mail d'hameçonnage contenant une archive .RAR ou un lien de téléchargement. Déguisée en double extension trompeuse (par exemple, doc_054_[expurgé].pdf.rar), l'archive se fait passer pour un fichier Microsoft Word ou PDF. À l'ouverture du fichier, la victime lance un exécutable.

Cet exécutable effectue plusieurs actions furtives :

• Se copie dans %AppData% sous le nom task.exe
• Crée un script Task.vbs dans le dossier de démarrage pour la persistance
• Extrait et exécute ckcfb.exe

À son tour, ckcfb.exe utilise InstallUtil.exe pour exécuter un module déchiffré. Il déchiffre et charge également Spydgozoi.dll, qui contient la charge utile principale de PureRAT.

Télécommande : ce que PureRAT peut faire

Après avoir pris pied, PureRAT établit une connexion chiffrée avec un serveur de commande et de contrôle (C2) et relaie les informations système. Il peut alors recevoir et exécuter des modules corrompus, tels que :

PluginPcOption

• Exécute l'auto-suppression
• Redémarre les processus malveillants
• Arrête ou redémarre le système

PluginWindowNotify

• Surveille les fenêtres actives pour les mots-clés sensibles (par exemple, mot de passe, banque)
• Peut initier des actions telles que des transferts de fonds non autorisés

PluginClipper

• Remplace les adresses de portefeuille de cryptomonnaie copiées par celles contrôlées par l'attaquant

De plus, PureRAT fournit aux attaquants :

• Enregistrement de frappe
• Contrôle du bureau à distance
• Accès aux fichiers, au registre, à la caméra, au microphone et aux processus en cours d'exécution

Infection en couches : plus que PureRAT

L'exécutable initial extrait également StilKrip.exe, un téléchargeur commercial connu sous le nom de PureCrypter, en circulation depuis 2022. Cet outil télécharge ensuite un fichier secondaire, Bghwwhmlr.wav, qui déclenche une nouvelle chaîne d'exécution. Cette séquence lance finalement Ttcxxewxtly.exe, ce qui entraîne l'activation de Bftvbho.dll, le composant principal d'une deuxième souche de malware appelée PureLogs.

PureLogs est un puissant voleur d'informations. Une fois actif, il collecte silencieusement un large éventail de données sensibles, notamment les identifiants et les informations utilisateur des navigateurs web, des clients de messagerie, des services VPN et des applications de messagerie. Il cible également les gestionnaires de mots de passe, les portefeuilles de cryptomonnaies et les outils de transfert de fichiers courants tels que FileZilla et WinSCP, offrant aux attaquants un accès approfondi aux données personnelles et organisationnelles.

Conclusion : le courrier électronique reste le maillon faible

La combinaison de PureRAT et de PureLogs offre aux cybercriminels des capacités étendues pour espionner, collecter et contrôler les systèmes compromis. L'utilisation constante d'e-mails de phishing contenant des pièces jointes ou des liens malveillants reste le principal point d'entrée, soulignant l'importance cruciale d'un filtrage robuste des e-mails et de la sensibilisation des utilisateurs aux mécanismes de cybersécurité des organisations.