PureRAT-Malware
Cybersicherheitsforscher haben eine groß angelegte Phishing-Kampagne aufgedeckt, die sich an russische Organisationen richtete und die Backdoor-Malware PureRAT verbreitete. Obwohl die Kampagne bereits im März 2023 begann, erlebte sie Anfang 2025 einen dramatischen Anstieg und vervierfachte die Anzahl der Angriffe im gleichen Zeitraum 2024. Obwohl kein spezifischer Bedrohungsakteur identifiziert wurde, deuten die verwendeten Methoden und die verwendete Malware auf eine hochgradig koordinierte Operation hin.
Inhaltsverzeichnis
Irreführende Übermittlung: Die Anatomie des Angriffs
Der Angriff beginnt mit einer Phishing-E-Mail, die ein RAR-Archiv oder einen Download-Link enthält. Getarnt durch irreführende doppelte Erweiterungen (z. B. doc_054_[redigiert].pdf.rar) gibt sich das Archiv als Microsoft Word- oder PDF-Datei aus. Sobald das Opfer die Datei öffnet, wird eine darin enthaltene ausführbare Datei gestartet.
Diese ausführbare Datei führt mehrere heimliche Aktionen aus:
- Kopiert sich selbst als task.exe nach %AppData%
- Erstellt ein Task.vbs-Skript im Autostart-Ordner für die Persistenz
- Extrahiert und führt ckcfb.exe aus
Anschließend verwendet ckcfb.exe InstallUtil.exe, um ein entschlüsseltes Modul auszuführen. Außerdem entschlüsselt und lädt es Spydgozoi.dll, das die primäre PureRAT-Nutzlast enthält.
Fernsteuerung: Was PureRAT kann
Sobald PureRAT Fuß gefasst hat, stellt es eine verschlüsselte Verbindung mit einem Command-and-Control-Server (C2) her und leitet Systeminformationen weiter. Anschließend kann es beschädigte Module empfangen und ausführen, beispielsweise:
PluginPcOption
- Führt eine Selbstlöschung aus
- Startet Malware-Prozesse neu
- Fährt das System herunter oder startet es neu
PluginWindowNotify
- Überwacht aktive Fenster auf sensible Schlüsselwörter (z. B. Passwort, Bank)
- Kann Aktionen wie nicht autorisierte Geldtransfers einleiten
PluginClipper
- Ersetzt kopierte Kryptowährungs-Wallet-Adressen durch vom Angreifer kontrollierte Adressen
Darüber hinaus bietet PureRAT Angreifern:
- Keylogging
- Remote-Desktop-Steuerung
- Zugriff auf Dateien, Registrierung, Kamera, Mikrofon und laufende Prozesse
Mehrschichtige Infektion: Mehr als nur PureRAT
Die erste ausführbare Datei extrahiert außerdem StilKrip.exe, einen kommerziellen Downloader namens PureCrypter, der seit 2022 im Umlauf ist. Dieses Tool lädt anschließend die zweite Datei Bghwwhmlr.wav herunter, die eine neue Ausführungskette auslöst. Diese Sequenz startet schließlich Ttcxxewxtly.exe und aktiviert Bftvbho.dll, die Kernkomponente einer zweiten Malware-Variante namens PureLogs.
PureLogs fungiert als leistungsstarker Informationsdieb. Einmal aktiviert, sammelt es unbemerkt eine Vielzahl sensibler Daten, darunter Anmeldeinformationen und Benutzerinformationen aus Webbrowsern, E-Mail-Clients, VPN-Diensten und Messaging-Anwendungen. Es zielt auch auf Passwortmanager, Kryptowährungs-Wallet-Anwendungen und weit verbreitete Dateiübertragungstools wie FileZilla und WinSCP ab und ermöglicht Angreifern so umfassenden Zugriff auf persönliche und organisatorische Daten.
Fazit: E-Mail immer noch das schwächste Glied
Die Kombination aus PureRAT und PureLogs bietet Cyberkriminellen umfassende Möglichkeiten, kompromittierte Systeme auszuspionieren, zu sammeln und zu kontrollieren. Der anhaltende Einsatz von Phishing-E-Mails mit schädlichen Anhängen oder Links ist nach wie vor der wichtigste Einstiegspunkt. Dies unterstreicht die Notwendigkeit robuster E-Mail-Filter und der Sensibilisierung der Benutzer für die Cybersicherheitsmaßnahmen von Unternehmen.
