Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ угрозы Pure: рост кибератак на российские организации в 2025

3 мин
В последнее время в сфере кибербезопасности наблюдается существенное увеличение числа атак на российские компании с использованием семейства вредоносных программ, известного как Pure. Данная вредоносная программа функционирует по модели «Вредоносное ПО как услуга» (Malware-as-a-Service) и стала одной из ключевых угроз, особенно с марта 2023 года. Согласно последним данным, в начале 2025 года количество атак с использованием Pure выросло в четыре раза по сравнению с аналогичным периодом 2024 года. Продвижение Pure происходит преимущественно через спам-рассылки с вложениями в формате RAR-архивов. Для повышения вероятности раскрытия вредоносного ПО используются вводящие в заблуждение имена файлов, имитирующие финансовую документацию. В названиях присутствуют ключевые слова (doc, akt, buh и другие), связанные с бухгалтерским учетом, а также часто применяются двойные расширения, например, .pdf.rar. После запуска программы происходит следующий набор действий: Главным компонентом вредоносного
Оглавление
Источник: securelist.ru
Источник: securelist.ru

Рост активности вредоносного ПО Pure: новый уровень угроз для российских организаций

В последнее время в сфере кибербезопасности наблюдается существенное увеличение числа атак на российские компании с использованием семейства вредоносных программ, известного как Pure. Данная вредоносная программа функционирует по модели «Вредоносное ПО как услуга» (Malware-as-a-Service) и стала одной из ключевых угроз, особенно с марта 2023 года. Согласно последним данным, в начале 2025 года количество атак с использованием Pure выросло в четыре раза по сравнению с аналогичным периодом 2024 года.

Методы распространения и особенности заражения

Продвижение Pure происходит преимущественно через спам-рассылки с вложениями в формате RAR-архивов. Для повышения вероятности раскрытия вредоносного ПО используются вводящие в заблуждение имена файлов, имитирующие финансовую документацию. В названиях присутствуют ключевые слова (doc, akt, buh и другие), связанные с бухгалтерским учетом, а также часто применяются двойные расширения, например, .pdf.rar.

После запуска программы происходит следующий набор действий:

  • копирование исполняемого файла в папку %Appdata% под именем Task.exe;
  • создание сценария автозапуска для обеспечения постоянного присутствия в системе;
  • извлечение и запуск дополнительного файла Stilkrip.exe, который выступает загрузчиком для других компонентов.

Технические детали работы Pure и её компонентов

Главным компонентом вредоносного ПО является Stilkrip.exe, который содержит в себе модуль Purerat — бекдор, обеспечивающий защищённую SSL-связь с сервером управления (C2). Для обмена данными используется формат protobuf, упакованный в GZIP. Передаваемая информация включает:

  • идентификаторы устройств;
  • данные об операционной системе;
  • сведения о пользователе.

В ответ сервер C2 отправляет дополнительные плагины и настройки, расширяющие функциональность вредоносного ПО.

Возможности Purerat и цели злоумышленников

Функции Purerat ориентированы на перехват конфиденциальной финансовой информации:

  • мониторинг активных окон на наличие банковских и финансовых ключевых слов;
  • создание скриншотов экрана;
  • анализ содержимого буфера обмена на наличие адресов криптовалют.

Кроме того, при обнаружении релевантных данных вредоносное ПО может вставлять вредоносный контент, нарушая транзакции и увеличивая риск финансовых потерь организации.

Дополнительные модули и их функции

Сложность атаки обеспечивается за счёт следующих компонентов:

  • Purecrypter — компонент второй фазы, который загружает дополнительные модули бэкдора и осуществляет кражу конфиденциальной информации, включая пароли браузера и данные о криптовалюте.
  • Purelogs — связанный с Purecrypter модуль, который выполняет функции загрузчика по команде с сервера C2. Особенностью является отсутствие SSL-соединения: для защиты канала используется шифрование 3DES, что снижает уровень безопасности и вызывает обеспокоенность специалистов.

Рекомендации для защиты организаций

Несмотря на использование устоявшихся методов атаки и проверенных технологий, кампания с Pure демонстрирует высокую эффективность и представляет серьёзную угрозу для безопасности корпоративных систем. Основной вектор заражения — электронная почта, что подчёркивает важность следующих мер:

  • повышение осведомлённости сотрудников о рисках и методах социальной инженерии;
  • автоматизация защиты от спама и фишинговых атак;
  • регулярное обновление антивирусного и иного защитного ПО;
  • внедрение многофакторной аутентификации и мониторинга сетевого трафика.

Только комплексный подход позволит существенно снизить вероятность успешных атак, связанных с семейством вредоносных программ Pure.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ угрозы Pure: рост кибератак на российские организации в 2025".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.