PureLog Stealer атакует через фишинг и выполнение в памяти

PureLog Stealer: как многоэтапная атака маскируется под legal notice и уходит от обнаружения

Аналитики зафиксировали кампанию с участием PureLog Stealer, которая демонстрирует хорошо выстроенную многоэтапную схему атаки. Под ударом оказались ключевые отрасли, включая healthcare, government, hospitality и education, при этом наибольшая активность наблюдалась в Germany и Canada. Злоумышленники используют social engineering и подменяют вредоносную активность юридическими уведомлениями о нарушении copyright, чтобы повысить вероятность успешного открытия сообщения жертвой.

Целевой фишинг и персонализированные приманки

Кампания выделяется точечной настройкой фишинга: сообщения подбираются по language и адресуются конкретным лицам или организациям. Такой подход повышает доверие к письму и позволяет доставлять malware через контент, который выглядит релевантным и правдоподобным для получателя.

После запуска атака разворачивает скрытую chain of infection, в которой используются fileless-техники. Полезная нагрузка передается через encrypted disguised PDF file, а ключи дешифрования не встроены статически в malware. Вместо этого они извлекаются динамически из C&C infrastructure, что заметно усложняет анализ и повышает устойчивость к обнаружению.

Как устроена цепочка заражения

По данным отчета, этап извлечения и подготовки полезной нагрузки включает переименованную WinRAR utility, замаскированную под image file. После запуска она помогает скрывать вредоносные действия от static analysis и затрудняет первичное расследование.

Далее в цепочке используется Python-based loader, который обеспечивает выполнение dual .NET loaders. В результате конечная payload — PureLog Stealer — запускается полностью in memory. Такой метод исключает запись файлов на disk, из-за чего traditional antivirus tools и endpoint detection systems оказываются менее эффективными.

Функции загрузчика и возможности PureLog Stealer

Встроенный функционал loader’а включает несколько критически важных механизмов уклонения и закрепления:

• AMSI bypass;
• registry persistence;
• screenshot capture;
• victim fingerprinting.

Сам PureLog Stealer собирает широкий массив данных о системе, включая browser credentials, cryptocurrency wallets и другую конфиденциальную информацию. Дополнительно вредоносное ПО проводит antivirus check, определяя установленные security products, чтобы адаптировать дальнейшие действия с учетом имеющейся защиты.

Документ-приманка и скрытая работа в фоне

Одна из ключевых тактик кампании — создание decoy document, который отображает безвредный интерфейс и снижает настороженность пользователя. Пока жертва видит обычный файл, заражение продолжается в background, а вредоносные процессы остаются незаметными для неподготовленного наблюдателя.

Эволюция кампании и новые методы уклонения

Исследователи отмечают, что кампания развивалась со временем: наблюдаемые variants меняли подход к delivery payload и decryption mechanisms. Последняя активность указывает на переход к использованию оперативной C&C infrastructure для выполнения команд in real time. Это усложняет работу defenders, поскольку атака становится более гибкой и быстрее адаптируется к действиям защитных систем.

Как отмечается в анализе, кампания PureLog Stealer является примером перехода к более структурированным и уклончивым формам атак вредоносного ПО.

Вывод

PureLog Stealer демонстрирует типичную для современных угроз комбинацию: targeted phishing, delivery через замаскированные файлы, execution in memory, dynamic key retrieval и активное использование C&C infrastructure. Такой набор методов позволяет атакующим обходить традиционные средства защиты и повышает вероятность успешной кражи данных.

Эксперты подчеркивают, что противодействие подобным кампаниям требует не только надежного behavioral detection, но и постоянного network monitoring. Именно сочетание этих подходов дает шанс своевременно выявлять атаки, которые все чаще строятся вокруг disguise, living-off-the-land элементов и fileless execution.