Las organizaciones rusas se han convertido en el objetivo de una campaña de phishing que distribuye malware llamado Purerat, según nuevos hallazgos de Kaspersky.
«La campaña dirigida a los negocios rusos comenzó en marzo de 2023, pero en el primer tercio de 2025 el número de ataques cuadruplados en comparación con el mismo período en 2024», el proveedor de ciberseguridad dicho.
Las cadenas de ataque, que no se han atribuido a ningún actor de amenaza específico, comienzan con un correo electrónico de phishing que contiene un archivo adjunto de archivos rar o un enlace al archivo que se disfraza de una palabra de Microsoft o un documento PDF mediante el uso de extensiones dobles («DOC_054_[redacted].pdf.rar «).
Presente dentro del archivo de archivo hay un ejecutable que, cuando se lanza, se copia en la ubicación «%AppData%» de la máquina Windows comprometida con el nombre «Task.exe» y crea un script de Visual Basic llamado «Task.VBS» en la carpeta de inicio de VBS.
El ejecutable luego procede a desempaquetar otro ejecutable «ckcfb.exe», ejecuta la utilidad del sistema «installUtil.exe» e inyecta en él el módulo descifrado. «Ckcfb.exe», por su parte, extrae y descifra un archivo dll «spydgozoi.dll» que incorpora la carga útil principal del malware Purerat.
Pureat establece conexiones SSL con un servidor de comando y control (C2) y transmite información del sistema, incluidos detalles sobre los productos antivirus instalados, el nombre de la computadora y el tiempo transcurrido desde el inicio del sistema. En respuesta, el servidor C2 envía módulos auxiliares para realizar una variedad de acciones maliciosas –
- PlugInpCOption, que es capaz de ejecutar comandos para la autoselección, reiniciar el archivo ejecutable y cerrar o reiniciar la computadora
- Pluginwindownotify, que verifica el nombre de la ventana activa para palabras clave como contraseña, banco, whatsapp, y realiza acciones de seguimiento apropiadas como transferencias de fondos no autorizadas
- Pluginclipper, que funciona como un malware de clipper Sustituyendo direcciones de billetera de criptomonedas copiadas en el portapapeles del sistema con una controlada por el atacante
«El troyano incluye módulos para descargar y ejecutar archivos arbitrarios que proporcionan acceso completo al sistema de archivos, registro, procesos, cámara y micrófono, implementar la funcionalidad de Keylogger y dar a los atacantes la capacidad de controlar secretamente la computadora utilizando el principio de escritorio remoto», dijo Kaspersky.
El ejecutable original que lanza «ckcfb.exe» simultáneamente también extrae un segundo binario denominado «stilkrip.exe», que es un descargador disponible comercialmente denominado Pureacry Eso se ha utilizado para entregar varias cargas útiles en el pasado. Está activo desde 2022.
«Stilkrip.exe» está diseñado para descargar «bghwwhmlr.wav», que sigue la secuencia de ataque mencionada anteriormente para ejecutar «installutil.exe» y finalmente lanzar «ttcxxewxtly.exe», un ejecutable que impide y ejecuta una carga útil DLL llamada puraelogs («bftvbho.dll»).
Purelogs es un robador de información listo para usar Eso puede cosechar datos de navegadores web, clientes de correo electrónico, servicios de VPN, aplicaciones de mensajería, extensiones de navegador de billetera, administradores de contraseñas, aplicaciones de billetera de criptomonedas y otros programas como Filezilla y WinsCP.
«El Purerat Backdoor y el robador de Purelogs tienen una amplia funcionalidad que permite a los atacantes obtener acceso ilimitado a sistemas infectados y datos confidenciales de la organización», dijo Kaspersky. «El vector principal de los ataques a las empresas ha sido y sigue siendo correos electrónicos con archivos adjuntos o enlaces maliciosos».
