Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware PureRAT

Malware PureRAT

Por Mezo en Software malicioso, Herramientas de administración remota
Traducir a:

Investigadores de ciberseguridad han descubierto una importante campaña de phishing dirigida a organizaciones rusas, que distribuye un malware de puerta trasera conocido como PureRAT. Aunque la campaña comenzó en marzo de 2023, experimentó un aumento drástico a principios de 2025, cuadruplicando el número de ataques registrados durante el mismo período de 2024. Si bien no se ha identificado ningún agente de amenaza específico, los métodos y el malware utilizados indican una operación altamente coordinada.

Entrega engañosa: la anatomía del ataque

El ataque se inicia con un correo electrónico de phishing que contiene un archivo .RAR o un enlace de descarga. Camuflado con extensiones dobles engañosas (p. ej., doc_054_[redacted].pdf.rar), el archivo se hace pasar por un archivo de Microsoft Word o PDF. Al abrirlo, la víctima ejecuta un archivo.

Este ejecutable realiza varias acciones sigilosas:

  • Se copia a %AppData% como task.exe
  • Crea un script Task.vbs en la carpeta de Inicio para persistencia
  • Extrae y ejecuta ckcfb.exe

A su vez, ckcfb.exe utiliza InstallUtil.exe para ejecutar un módulo descifrado. También descifra y carga Spydgozoi.dll, que contiene la carga útil principal de PureRAT.

Control remoto: lo que PureRAT puede hacer

Tras establecerse, PureRAT establece una conexión cifrada con un servidor de Comando y Control (C2) y retransmite información del sistema. Posteriormente, puede recibir y ejecutar módulos corruptos, como:

OpciónPc del complemento

  • Ejecuta la autoeliminación
  • Reinicia procesos de malware
  • Apaga o reinicia el sistema

Notificación de ventana de complemento

  • Supervisa las ventanas activas en busca de palabras clave sensibles (por ejemplo, contraseña, banco)
  • Puede iniciar acciones como transferencias de fondos no autorizadas

PluginClipper

  • Reemplaza las direcciones de billeteras de criptomonedas copiadas por las controladas por el atacante.

Además, PureRAT proporciona a los atacantes:

  • Registro de teclas
  • Control de escritorio remoto
  • Acceso a archivos, registro, cámara, micrófono y procesos en ejecución

Infección en capas: más que solo PureRAT

El ejecutable inicial también extrae StilKrip.exe, un descargador comercial conocido como PureCrypter, disponible desde 2022. Esta herramienta descarga un archivo secundario, Bghwwhmlr.wav, que desencadena una nueva cadena de ejecución. Esta secuencia ejecuta Ttcxxewxtly.exe, lo que activa Bftvbho.dll, el componente principal de una segunda cepa de malware conocida como PureLogs.

PureLogs funciona como un potente ladrón de información. Una vez activo, recopila silenciosamente una amplia gama de datos confidenciales, incluyendo credenciales e información de usuario de navegadores web, clientes de correo electrónico, servicios VPN y aplicaciones de mensajería. También ataca gestores de contraseñas, aplicaciones de monederos de criptomonedas y herramientas de transferencia de archivos ampliamente utilizadas, como FileZilla y WinSCP, lo que otorga a los atacantes acceso completo a datos personales y organizacionales.

Conclusión: el correo electrónico sigue siendo el eslabón más débil

La combinación de PureRAT y PureLogs ofrece a los ciberdelincuentes amplias capacidades para espiar, recopilar y controlar sistemas comprometidos. El uso continuo de correos electrónicos de phishing con archivos adjuntos o enlaces dañinos sigue siendo la principal vía de entrada, lo que subraya la necesidad crucial de un filtrado de correo electrónico robusto y de la concienciación de los usuarios en las defensas de ciberseguridad organizacional.

Tendencias

Mas Visto

Cargando...