Анализ угрозы Pure: рост кибератак на российские организации в 2025

Рост активности вредоносного ПО Pure: новый уровень угроз для российских организаций

В последнее время в сфере кибербезопасности наблюдается существенное увеличение числа атак на российские компании с использованием семейства вредоносных программ, известного как Pure. Данная вредоносная программа функционирует по модели «Вредоносное ПО как услуга» (Malware-as-a-Service) и стала одной из ключевых угроз, особенно с марта 2023 года. Согласно последним данным, в начале 2025 года количество атак с использованием Pure выросло в четыре раза по сравнению с аналогичным периодом 2024 года.

Методы распространения и особенности заражения

Продвижение Pure происходит преимущественно через спам-рассылки с вложениями в формате RAR-архивов. Для повышения вероятности раскрытия вредоносного ПО используются вводящие в заблуждение имена файлов, имитирующие финансовую документацию. В названиях присутствуют ключевые слова (doc, akt, buh и другие), связанные с бухгалтерским учетом, а также часто применяются двойные расширения, например, .pdf.rar.

После запуска программы происходит следующий набор действий:

• копирование исполняемого файла в папку %Appdata% под именем Task.exe;
• создание сценария автозапуска для обеспечения постоянного присутствия в системе;
• извлечение и запуск дополнительного файла Stilkrip.exe, который выступает загрузчиком для других компонентов.

Технические детали работы Pure и её компонентов

Главным компонентом вредоносного ПО является Stilkrip.exe, который содержит в себе модуль Purerat — бекдор, обеспечивающий защищённую SSL-связь с сервером управления (C2). Для обмена данными используется формат protobuf, упакованный в GZIP. Передаваемая информация включает:

• идентификаторы устройств;
• данные об операционной системе;
• сведения о пользователе.

В ответ сервер C2 отправляет дополнительные плагины и настройки, расширяющие функциональность вредоносного ПО.

Возможности Purerat и цели злоумышленников

Функции Purerat ориентированы на перехват конфиденциальной финансовой информации:

• мониторинг активных окон на наличие банковских и финансовых ключевых слов;
• создание скриншотов экрана;
• анализ содержимого буфера обмена на наличие адресов криптовалют.

Кроме того, при обнаружении релевантных данных вредоносное ПО может вставлять вредоносный контент, нарушая транзакции и увеличивая риск финансовых потерь организации.

Дополнительные модули и их функции

Сложность атаки обеспечивается за счёт следующих компонентов:

• Purecrypter — компонент второй фазы, который загружает дополнительные модули бэкдора и осуществляет кражу конфиденциальной информации, включая пароли браузера и данные о криптовалюте.
• Purelogs — связанный с Purecrypter модуль, который выполняет функции загрузчика по команде с сервера C2. Особенностью является отсутствие SSL-соединения: для защиты канала используется шифрование 3DES, что снижает уровень безопасности и вызывает обеспокоенность специалистов.

Рекомендации для защиты организаций

Несмотря на использование устоявшихся методов атаки и проверенных технологий, кампания с Pure демонстрирует высокую эффективность и представляет серьёзную угрозу для безопасности корпоративных систем. Основной вектор заражения — электронная почта, что подчёркивает важность следующих мер:

• повышение осведомлённости сотрудников о рисках и методах социальной инженерии;
• автоматизация защиты от спама и фишинговых атак;
• регулярное обновление антивирусного и иного защитного ПО;
• внедрение многофакторной аутентификации и мониторинга сетевого трафика.

Только комплексный подход позволит существенно снизить вероятность успешных атак, связанных с семейством вредоносных программ Pure.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.