<div id="post_message_792766">

Специалисты «Лаборатории Касперского» <a href="https://securelist.ru/purerat-attacks-russian-organizations/112619/" target="_blank">предупредили </a>о четырехкратном росте атак с использованием малвари Pure. Злоумышленники, как правило, распространяют бэкдор в почтовых рассылках, а в именах вложенных файлов используют сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой.<br/>
<br/>
Эта вредоносная кампания началась еще в марте 2023 года, однако, по словам экспертов, в первой трети 2025 года число атак увеличилось в четыре раза по сравнению с аналогичным периодом прошлого года.<br/>
<br/>
Кампания нацелена как на крупный, так и небольшой бизнес. Действия малвари направлены на кражу учетных данных, конфиденциальной информации и финансовых средств компаний.<br/>
<br/>
Атаки выглядят следующим образом: сотрудник компании получает письмо с вредоносным вложением в виде RAR-архива или ссылку на архив. В архиве содержится исполняемый файл, который маскируется под PDF-документ. В имени файла злоумышленники чаще всего используют шаблонные слова, связанные с бухгалтерской сферой: doc, akt, «акт», sverka, «сверка», buh, oplata, «оплата». Также могут упоминаться известные компании, разрабатывающие бухгалтерское ПО или предоставляющие услуги по его внедрению.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512751/purerat-attacks-russian-organiza.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Схема заражения

</td>
</tr>
</table>
</div>Кроме того, отмечается, что некоторым компонентам малвари присвоены названия известных банков. Исследователи пишут, что это служит дополнительным признаком того, что атаки ориентированы на сотрудников, работающих с платежной информацией, в частности бухгалтеров.<br/>
<br/>
При запуске фальшивого PDF файл копирует себя в %AppData% под именем Task.exe, создает в папке Startup VBS-скрипт (Task.vbs) для автозапуска и извлекает из ресурсов исполняемый файл StilKrip.exe.<br/>
<br/>
После этого троян извлекает из ресурсов и расшифровывает еще один исполняемый файл, Ckcfb.exe, запускает системную утилиту InstallUtil.exe и внедряет в ее процесс расшифрованный модуль. Ckcfb.exe, в свою очередь, извлекает из ресурсов и расшифровывает библиотеку Spydgozoi.dll, которая и содержит основной модуль бэкдора PureRAT.<br/>
<br/>
В состав вредоноса входят уже помянутый бэкдор PureRAT и стилер PureLogs (с которым связан упомянутый выше файл StilKrip.exe), которые позволяют атакующим получить неограниченный доступ к зараженным системам.<br/>
<br/>
Так, после проникновения на устройство PureRAT может загрузить несколько десятков дополнительных модулей, каждый из которых выполняет свои функции. Например, запуск команды на самоудаление, получение доступа к микрофону и камере, проверка буфера обмена на наличие текста, похожего на адрес криптокошелька, выключение или перезагрузка компьютера.<br/>
<br/>
Кроме того, малварь обладает функциональностью, которая может использоваться для оповещения оператора ботнета о начале работы пользователя с финансовым сервисом. Если сотрудник отлучается от рабочего места, при этом не закрыв приложение или не выйдя из браузерной сессии, хакер может подключиться к его машине в режиме удаленного рабочего стола.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512751/purerat-attacks-russian-organiza2.jpg"/><br/>
<br/>
В свою очередь стилер PureLogs, помимо стандартной функциональности по краже учетных данных и чувствительной информации из браузеров на основе движков Chromium и Gecko, PureLogs способен похищать данные из:<ul><li>почтовых клиентов Foxmail, Mailbird, Outlook, MailMaster;</li>
</ul><ul><li>файловых менеджеров FileZilla, WinSCP;</li>
</ul><ul><li>приложений Steam, DownloadManager, OBS Studio, ngrok;</li>
</ul><ul><li>мессенджеров Discord, Pidgin, Signal, Telegram;</li>
</ul><ul><li>VPN-сервисов OpenVPN, Proton VPN.</li>
</ul>Также PureLogs интересуется браузерными расширениями, относящимися в основном к криптокошелькам.<br/>
<br/>
Кроме того, PureLogs обладает функциональностью загрузчика, то есть по команде от управляющего сервера он способен скачивать файл по переданному URL и запускать его. Также он может собирать по переданным путям файлы и отправлять их на сервер своим операторам. Исследователи подчеркивают, что в контексте атак на организации эта функциональность может быть даже опаснее, чем кража данных браузерных расширений и пользовательских приложений.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Впервые мы обнаружили семейство зловредов Pure в середине 2022 года. Его особенность заключается в том, что оно распространяется на теневых ресурсах по модели Malware-as-a-Service. Это означает, что разные группы и отдельные злоумышленники могут купить и использовать его по своему усмотрению. Применение бухгалтерской тематики для атак зловреда на российские организации было впервые зафиксировано в марте 2023 года, — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского». — Важно отметить, что троянцы удаленного доступа (RAT) представляют серьезную угрозу для организаций, так как пользователь может долгое время оставаться в неведении о том, что злоумышленники получили полный контроль над устройством».</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/05/21/pure-attacks/" target="_blank">@ xakep.ru</a>
</div>