Nel 2025 le organizzazioni russe sono state colpite da una massiccia ondata di attacchi informatici veicolati dal malware PureRAT, con un incremento degli attacchi di quattro volte rispetto allo stesso periodo dell'anno precedente. Questa crescita allarmante è stata rilevata dagli esperti di sicurezza informatica, che hanno evidenziato come la campagna di phishing mirata abbia preso di mira soprattutto aziende e realtà del mondo business in Russia.

Fasi dell'attacco

L'attacco inizia tipicamente con un'email di phishing che contiene un file RAR allegato o un link che porta a un archivio malevolo. Questi archivi sono camuffati da documenti Word o PDF tramite l'uso di doppie estensioni, come ad esempio doc_054_xxx.pdf.rar, per ingannare gli utenti e spingerli ad aprire il file. Una volta estratto e avviato l'eseguibile contenuto nell'archivio, questo si copia automaticamente nella cartella AppData del sistema Windows compromesso, rinominandosi in task.exe e creando uno script Visual Basic che ne garantisce l'esecuzione automatica all'avvio del sistema.

Meccanismi di elusione e comunicazione

Il malware esegue poi diversi passaggi per eludere i controlli di sicurezza: estrae un secondo eseguibile (ckcfb.exe), utilizza la utility di sistema InstallUtil.exe e inietta il modulo malevolo decriptato. Questo modulo, denominato Spydgozoi.dll, rappresenta il vero cuore operativo di PureRAT. Una volta attivo, stabilisce connessioni SSL verso server di comando e controllo (C2), inviando informazioni dettagliate sul sistema infetto, tra cui prodotti antivirus installati, nome del computer e tempo di attività.

Moduli aggiuntivi e funzionalità dannose

PureRAT scarica quindi moduli aggiuntivi che permettono di eseguire molteplici azioni dannose. Ad esempio, il modulo PluginPcOption consente di cancellare se stesso, riavviare il computer o spegnerlo. PluginWindowNotify monitora la finestra attiva per identificare parole chiave sensibili come password o banca, mentre PluginClipper agisce come malware clipper, sostituendo negli appunti gli indirizzi di portafogli di criptovaluta con quelli degli aggressori. Il trojan include anche funzionalità di keylogger, accesso remoto, controllo di webcam e microfono, oltre a consentire il download e l'esecuzione di file arbitrari.

Componenti secondari e obiettivi finali

Parallelamente, viene estratto un altro componente, StilKrip.exe, identificato come PureCrypter, utilizzato per scaricare ulteriori payload come PureLogs, un potente stealer che raccoglie dati da browser, client email, VPN, applicazioni di messaggistica e wallet di criptovalute. L'obiettivo finale di questa catena di infezione è garantire agli attaccanti un controllo totale sui sistemi delle vittime e l'esfiltrazione di dati sensibili, sfruttando principalmente la posta elettronica come vettore di attacco.