Rus Şirketleri Hedefte: PureRAT Zararlısı 2025'te 4 Kat Arttı, Yeni Tehdit PureLogs ile Genişliyor
Kaspersky'nin tespitlerine göre, Rus şirketlerini hedef alan PureRAT tabanlı siber saldırılar 2025'in ilk çeyreğinde geçen yıla göre dört kat arttı. PureLogs adlı bilgi hırsızı ile desteklenen saldırılar, kimlik avı e-postalarıyla başlıyor ve tam sistem kontrolüne kadar ilerliyor.
Kaspersky'den kritik uyarı
Siber güvenlik firması Kaspersky, Rus şirketlerini hedef alan yeni bir kimlik avı kampanyasıyla ilgili dikkat çeken bir rapor yayımladı. Rapora göre, PureRAT adlı kötü amaçlı yazılım, 2025'in ilk çeyreğinde, 2024'ün aynı dönemine kıyasla dört kat daha fazla saldırıda kullanıldı.
Saldırı zinciri nasıl ilerliyor?
Kampanya, kullanıcılara gönderilen bir e-postada, RAR arşivi gibi görünen ve çift uzantı taşıyan ("doc_054_[düzenlendi].pdf.rar") dosyalarla başlıyor. Arşiv dosyasının içindeki zararlı yazılım, çalıştırıldığında kendisini Windows sistem dizinine 'task.exe' adıyla kopyalıyor ve otomatik çalıştırma için 'Task.vbs' adında bir script oluşturuyor.
Bu süreçte 'task.exe', bir diğer çalıştırılabilir dosya olan 'ckcfb.exe'yi aktive ediyor ve ardından 'InstallUtil.exe' isimli sistem yardımcı programını devreye alarak zararlı modülü enjekte ediyor. 'Ckcfb.exe', içerisinde PureRAT zararlısının ana yükünü taşıyan 'Spydgozoi.dll' adlı DLL dosyasını çıkarıyor ve sistem üzerinde kontrol kuruyor.
Kontrol sunucusuna veri aktarımı
PureRAT, uzaktaki komut ve kontrol (C2) sunucusuyla SSL üzerinden bağlantı kuruyor. Sistemde kurulu antivirüs programları, bilgisayar adı ve sistemin çalışma süresi gibi detayları toplayarak sunucuya iletiyor. Bu sayede sunucu, sisteme çeşitli zararlı komutlar gönderebiliyor.
Kullanılan modüller arasında kendini silme, sistemi yeniden başlatma, açık pencere başlıklarına göre izleme yapma, yetkisiz para transferlerini tetikleme ve panodaki kripto cüzdan adreslerini değiştirme gibi yetenekler bulunuyor.
PureLogs ile bilgi hırsızlığı
Saldırganlar, PureRAT ile birlikte PureLogs adlı bir bilgi hırsızı modülünü de kullanıyor. Bu modül, web tarayıcıları, e-posta istemcileri, parola yöneticileri, kripto cüzdanlar ve FTP yazılımları gibi çok sayıda uygulamadan veri toplayabiliyor.
StilKrip ve Ttcxxewxtly.exe zinciri
PureCrypter olarak bilinen "StilKrip.exe" adlı indirici yazılım da saldırılarda kullanılıyor. Bu yazılım, "Bghwwhmlr.wav" adında bir dosya indirerek zincirin sonraki adımlarını başlatıyor. Nihayetinde, "Ttcxxewxtly.exe" adlı yürütülebilir dosya ile PureLogs yükleniyor.
Kaspersky, PureRAT ve PureLogs'un birlikte kullanımının, saldırganlara hedef sistem üzerinde tam yetki sağladığını ve hassas kurumsal verilerin tehlikeye girmesine neden olduğunu belirtiyor.
Kaynak: CUMHA - CUMHUR HABER AJANSI
