Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

PureLog Stealer атакует через фишинг и выполнение в памяти

3 мин
PureLog Stealer: как многоэтапная атака маскируется под legal notice и уходит от обнаружения Аналитики зафиксировали кампанию с участием PureLog Stealer, которая демонстрирует хорошо выстроенную многоэтапную схему атаки. Под ударом оказались ключевые отрасли, включая healthcare, government, hospitality и education, при этом наибольшая активность наблюдалась в Germany и Canada. Злоумышленники используют social engineering и подменяют вредоносную активность юридическими уведомлениями о нарушении copyright, чтобы повысить вероятность успешного открытия сообщения жертвой. Кампания выделяется точечной настройкой фишинга: сообщения подбираются по language и адресуются конкретным лицам или организациям. Такой подход повышает доверие к письму и позволяет доставлять malware через контент, который выглядит релевантным и правдоподобным для получателя. После запуска атака разворачивает скрытую chain of infection, в которой используются fileless-техники. Полезная нагрузка передается через encrypted
Оглавление

PureLog Stealer: как многоэтапная атака маскируется под legal notice и уходит от обнаружения

Аналитики зафиксировали кампанию с участием PureLog Stealer, которая демонстрирует хорошо выстроенную многоэтапную схему атаки. Под ударом оказались ключевые отрасли, включая healthcare, government, hospitality и education, при этом наибольшая активность наблюдалась в Germany и Canada. Злоумышленники используют social engineering и подменяют вредоносную активность юридическими уведомлениями о нарушении copyright, чтобы повысить вероятность успешного открытия сообщения жертвой.

Целевой фишинг и персонализированные приманки

Кампания выделяется точечной настройкой фишинга: сообщения подбираются по language и адресуются конкретным лицам или организациям. Такой подход повышает доверие к письму и позволяет доставлять malware через контент, который выглядит релевантным и правдоподобным для получателя.

После запуска атака разворачивает скрытую chain of infection, в которой используются fileless-техники. Полезная нагрузка передается через encrypted disguised PDF file, а ключи дешифрования не встроены статически в malware. Вместо этого они извлекаются динамически из C&C infrastructure, что заметно усложняет анализ и повышает устойчивость к обнаружению.

Как устроена цепочка заражения

По данным отчета, этап извлечения и подготовки полезной нагрузки включает переименованную WinRAR utility, замаскированную под image file. После запуска она помогает скрывать вредоносные действия от static analysis и затрудняет первичное расследование.

Далее в цепочке используется Python-based loader, который обеспечивает выполнение dual .NET loaders. В результате конечная payload — PureLog Stealer — запускается полностью in memory. Такой метод исключает запись файлов на disk, из-за чего traditional antivirus tools и endpoint detection systems оказываются менее эффективными.

Функции загрузчика и возможности PureLog Stealer

Встроенный функционал loader’а включает несколько критически важных механизмов уклонения и закрепления:

  • AMSI bypass;
  • registry persistence;
  • screenshot capture;
  • victim fingerprinting.

Сам PureLog Stealer собирает широкий массив данных о системе, включая browser credentials, cryptocurrency wallets и другую конфиденциальную информацию. Дополнительно вредоносное ПО проводит antivirus check, определяя установленные security products, чтобы адаптировать дальнейшие действия с учетом имеющейся защиты.

Документ-приманка и скрытая работа в фоне

Одна из ключевых тактик кампании — создание decoy document, который отображает безвредный интерфейс и снижает настороженность пользователя. Пока жертва видит обычный файл, заражение продолжается в background, а вредоносные процессы остаются незаметными для неподготовленного наблюдателя.

Эволюция кампании и новые методы уклонения

Исследователи отмечают, что кампания развивалась со временем: наблюдаемые variants меняли подход к delivery payload и decryption mechanisms. Последняя активность указывает на переход к использованию оперативной C&C infrastructure для выполнения команд in real time. Это усложняет работу defenders, поскольку атака становится более гибкой и быстрее адаптируется к действиям защитных систем.

Как отмечается в анализе, „кампания PureLog Stealer является примером перехода к более структурированным и уклончивым формам атак вредоносного ПО“.

Вывод

PureLog Stealer демонстрирует типичную для современных угроз комбинацию: targeted phishing, delivery через замаскированные файлы, execution in memory, dynamic key retrieval и активное использование C&C infrastructure. Такой набор методов позволяет атакующим обходить традиционные средства защиты и повышает вероятность успешной кражи данных.

Эксперты подчеркивают, что противодействие подобным кампаниям требует не только надежного behavioral detection, но и постоянного network monitoring. Именно сочетание этих подходов дает шанс своевременно выявлять атаки, которые все чаще строятся вокруг disguise, living-off-the-land элементов и fileless execution.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "PureLog Stealer атакует через фишинг и выполнение в памяти".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.