Las organizaciones rusas se han convertido en el objetivo de una campa\u00f1a de phishing que distribuye malware llamado Purerat, seg\u00fan nuevos hallazgos de Kaspersky.<\/p>\n
“La campa\u00f1a dirigida a los negocios rusos comenz\u00f3 en marzo de 2023, pero en el primer tercio de 2025 el n\u00famero de ataques cuadruplados en comparaci\u00f3n con el mismo per\u00edodo en 2024”, el proveedor de ciberseguridad dicho<\/a>.<\/p>\n Las cadenas de ataque, que no se han atribuido a ning\u00fan actor de amenaza espec\u00edfico, comienzan con un correo electr\u00f3nico de phishing que contiene un archivo adjunto de archivos rar o un enlace al archivo que se disfraza de una palabra de Microsoft o un documento PDF mediante el uso de extensiones dobles (“DOC_054_[redacted].pdf.rar “).<\/p>\n Presente dentro del archivo de archivo hay un ejecutable que, cuando se lanza, se copia en la ubicaci\u00f3n “%AppData%” de la m\u00e1quina Windows comprometida con el nombre “Task.exe” y crea un script de Visual Basic llamado “Task.VBS” en la carpeta de inicio de VBS.<\/p>\n El ejecutable luego procede a desempaquetar otro ejecutable “ckcfb.exe”, ejecuta la utilidad del sistema “installUtil.exe” e inyecta en \u00e9l el m\u00f3dulo descifrado. “Ckcfb.exe”, por su parte, extrae y descifra un archivo dll “spydgozoi.dll” que incorpora la carga \u00fatil principal del malware Purerat.<\/p>\n Pureat establece conexiones SSL con un servidor de comando y control (C2) y transmite informaci\u00f3n del sistema, incluidos detalles sobre los productos antivirus instalados, el nombre de la computadora y el tiempo transcurrido desde el inicio del sistema. En respuesta, el servidor C2 env\u00eda m\u00f3dulos auxiliares para realizar una variedad de acciones maliciosas –<\/p>\n “El troyano incluye m\u00f3dulos para descargar y ejecutar archivos arbitrarios que proporcionan acceso completo al sistema de archivos, registro, procesos, c\u00e1mara y micr\u00f3fono, implementar la funcionalidad de Keylogger y dar a los atacantes la capacidad de controlar secretamente la computadora utilizando el principio de escritorio remoto”, dijo Kaspersky.<\/p>\n El ejecutable original que lanza “ckcfb.exe” simult\u00e1neamente tambi\u00e9n extrae un segundo binario denominado “stilkrip.exe”, que es un descargador disponible comercialmente denominado pureecrypter que se ha utilizado para entregar varias cargas \u00fatiles en el pasado. Est\u00e1 activo desde 2022. <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Puerta-de-malware-Spikes-4x-en-2025-desplegando-Purelogs-para.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n