Ghost Crypt и PureRAT: новая угроза в киберпространстве с использованием гипноза процессов

Начальный доступ был получен через социальную инженерию: злоумышленник представился новым клиентом и отправил PDF-файл со ссылкой на вредоносный архив в Zoho WorkDrive. Заряженный файл содержал DLL, зашифрованный Ghost Crypt, который внедрял PureRAT в легитимный процесс csc.exe. Этот метод позволил злоумышленнику обойти стандартные средства защиты, включая Windows Defender и облачные системы детектирования.

Ghost Crypt, впервые анонсированный на HackForums в апреле 2025 года, предлагает услуги криптования и сайдлоадинга для EXE и DLL-файлов. Среди заявленных возможностей - обход антивирусов, поддержка Windows 11 24H2+, полиморфный движок и интеграция с Kleenscan для тестирования уязвимости к обнаружению. Сервис активно рекламируется в даркнете, поддерживая такие семейства вредоносного ПО, как LummaC2, Rhadmanthys и XWorm.

Особенностью Ghost Crypt является модифицированная версия алгоритма ChaCha20, отличающаяся нестандартными параметрами шифрования, включая нулевые значения nonce и счетчика. После дешифровки вредоносный код использует технику "гипноза процессов" (Process Hypnosis): целевой процесс запускается в режиме отладки (DEBUG_ONLY_THIS_PROCESS), что предотвращает его дальнейший анализ. Затем PureRAT внедряется в память с помощью VirtualAllocEx и WriteProcessMemory, а для обхода новых защитных механизмов Microsoft патчится функция ZwManageHotpatch.

PureRAT, разработанный автором PureCoder (ранее известным по PureHVNC), представляет собой многофункциональный троян. После запуска он собирает системную информацию, данные пользователя и целенаправленно ищет криптокошельки в браузерах (Chrome, Edge, Brave и других) и локальных приложениях (Ledger Live, Exodus, Atomic Wallet). Собранные данные отправляются на C2-сервер, после чего троян ожидает команды для загрузки дополнительных модулей.

Эксперты eSentire отмечают, что атака демонстрирует рост сложности киберугроз: злоумышленники сочетают социальную инженерию, многослойную обфускацию и инновационные методы внедрения. Для защиты рекомендуется: усилить проверку вложений и ссылок, ограничить права пользователей, внедрить EDR-решения с поведенческим анализом и регулярно обучать сотрудников кибергигиене.

Текущая версия PureRAT активно развивается, интегрируя функции PureHVNC, что делает его еще более опасным инструментом для целевых атак. Аналитики предупреждают, что подобные кампании будут учащаться, а злоумышленники продолжат совершенствовать методы обхода защиты, используя такие сервисы, как Ghost Crypt.

IPv4 Port Combinations

• 176.65.144.123:56002
• 196.251.88.111:56002

Domains

• fax-greenry.myhome-server.de

Fingerprints MD5

• 3de14ad7e90355527282d3da369815a2

Fingerprints SHA1

• 9add49745b6fb5002aa89f79ef549f3bfaa8203d

Fingerprints SHA256

• cbbda2edde38162e49f7578512c015640392342a26ea0e5cd90705bb66a7ba81

SHA256

• 1ac0767e5a22839ae581ea31fcfcd693f1d35092a33576cb5269a2f7b415d964
• 69a40bd2f667845ab95ad8438dae390f2e8b9680f4d30cb20e920c45cda565f9
• f3d98823fb6cdc226414bedc49b94e86060fcc511cc50867d63f7c989fe54aed

Certificate Signature SHA512withRSA

• 22:52:be:0d:35:b4:ca:60:0a:a7:d2:49:b5:c4:c4:af:
• 25:ea:02:5b:a6:53:bb:82:43:60:60:1f:bd:4d:35:28:
• 2a:84:51:a2:13:a6:bc:16:c5:07:49:67:3c:62:0c:f1:
• 30:4d:b6:69:e0:ed:7d:b0:b3:79:6b:27:54:5e:67:39:
• 47:f0:9d:00:37:88:94:ea:1e:8a:eb:08:75:38:50:f8:
• 49:db:da:c5:3c:2a:14:0e:aa:b6:18:66:42:bd:4c:da:
• 55:06:3f:57:d0:a0:18:8a:f0:0e:af:7d:e1:a3:0b:c7:
• 58:9b:40:9d:e5:80:f4:ab:bd:b7:a8:c0:85:e6:86:1b:
• 5c:49:fc:ad:e7:e0:01:d8:3c:69:09:0b:bf:73:2a:63:
• 70:e0:db:15:a1:42:7c:c3:2f:2f:c7:f8:21:7e:69:6c:
• 72:6c:e3:2a:1d:66:f2:7a:24:7b:2a:76:21:20:1b:8c:
• 82:05:7a:1e:15:c0:e4:07:4c:8a:5c:6c:c1:7a:05:e7:
• 84:4f:d4:32:50:69:4a:27:ab:d5:2a:d3:da:88:ee:86:
• 84:b7:15:06:42:86:12:ca:66:17:f3:03:93:59:cd:a6:
• 8d:5f:c1:a8:2e:1e:c2:91:c0:17:1b:55:b8:9d:94:cc:
• 95:69:b0:17:8d:70:61:66:86:ef:ac:ac:d5:8c:e6:de:
• a8:cb:e2:1e:6d:80:77:ed:dd:7b:79:9c:35:ab:b8:01:
• ab:45:f1:00:d1:12:1d:7d:b1:9b:28:53:8f:78:83:4b:
• ad:15:2f:24:b6:d2:80:6c:09:99:c2:0a:ff:2b:0a:60:
• ae:eb:15:89:70:cf:d7:eb:a2:ef:35:26:c1:01:ba:92:
• b9:6e:ea:15:34:ce:bb:ea:cb:c5:b6:36:b3:f5:6b:d7:
• ba:f8:5e:8f:84:28:de:70:26:be:5a:e2:9b:0e:28:e4:
• bf:97:27:22:db:41:b9:b1:f4:49:ce:77:51:86:cc:12:
• c1:8a:92:3a:9c:fc:12:2e:f5:50:8f:47:b2:f2:ec:57:
• c3:f4:38:e7:7d:5c:7c:8d:b2:9b:eb:2c:88:9b:47:7a:
• dc:b2:57:2f:33:f5:bc:e9:a8:9c:b0:fb:22:e8:d3:c1:
• dc:b3:c6:2d:f6:29:16:13:07:a7:90:c4:2b:73:87:ad:
• eb:3e:e1:33:a5:af:db:ec:95:f0:9e:b7:42:f8:47:cb:
• f3:54:1a:93:f0:09:64:26:7a:14:c2:13:83:a9:46:8c:
• fd:9c:b2:55:93:e8:29:8d:16:30:15:da:de:3a:c0:6e:
• ff:36:7e:53:4c:c5:c4:ed:dd:10:d4:f5:23:80:fd:34:
• ff:94:26:23:ad:a0:df:ed:c5:d9:6b:f5:52:a5:4f:cb