За кулисами Pure: от трояна до конструктора и разработчика

Исследователи Check Point провели детальный анализ кампании ClickFix, в ходе которой злоумышленники заманивали жертв фиктивными предложениями о работе. Восьмидневное вторжение включало развертывание множества инструментов: Rust Loader, PureHVNC RAT (троян удаленного доступа) и фреймворка Sliver для управления командным центром. Это одно из наиболее полных исследований семейства вредоносных программ Pure, раскрывающее полный набор команд и плагинов PureHVNC.

Описание

В ходе коммуникации с сервером управления бот получал три URL-адреса GitHub, содержащие вспомогательные файлы для специфических функций PureHVNC. Анализ подтвердил прямую связь этих URL и связанных аккаунтов GitHub с разработчиком семейства Pure, известным как PureCoder. Ранее информация о PureCoder была крайне скудной, но теперь установлен часовой пояс операционной деятельности (UTC+0300) и потенциальные страны проживания, что может помочь соответствующим органам в сборе разведывательных данных.

Дальнейшее расследование привело к обнаружению конструктора PureRAT, раскрывающего возможности трояна и демонстрирующего функции, связанные с PureCrypter - еще одним инструментом, созданным PureCoder. Семейство Pure включает набор вредоносных инструментов, разработанных и продаваемых этим автором: PureHVNC RAT, PureCrypter (обфускатор вредоносного кода), PureLogs (похититель данных) и другие. Эти продукты рекламируются и распространяются через подпольные форумы, Telegram-каналы и специализированные сайты.

В 2025 году заметно возросло использование продуктов Pure, распространяемых через рассылки вредоносных писем, фишинговые сайты и технику ClickFix. Во время инцидента, расследованного Check Point, злоумышленник заманил жертву через поддельные объявления о вакансиях, что позволило выполнить вредоносный код PowerShell через метод ClickFix. Сервер управления доставлял три GitHub-URL инфицированным жертвам, и эти файлы были частью инфраструктуры разработки Pure, а не конкретного угрозчика.

Анализ аккаунтов GitHub выявил часовой пояс UTC+0300, что соответствует нескольким странам, включая Россию. Техника ClickFix представляет собой метод социальной инженерии, при котором жертвам показываются обманчивые инструкции, побуждающие их выполнить вредоносную команду. В данной кампании жертвы переходили на фишинговую страницу через фейковые предложения работы, после чего команда PowerShell автоматически копировалась в их буфер обмена.

В первый день заражения злоумышленник сбросил JavaScript-файлы и первую версию PureHVNC RAT. На второй день была развернута новая версия трояна, упакованная с помощью Rust Loader и Inno Setup. После шести дней бездействия, вероятно для проверки, что машина не является песочницей, угрозчик доставил имплант Sliver, который запрашивал пароль пользователя и сохранял учетные данные.

Технический анализ Rust Loader показал использование шифрования строк алгоритмом ChaCha20-Poly1305 и различные методы анти-анализа, включая мониторинг процессов, связанных с антивирусным ПО и инструментами отладки. Для обхода AMSI (интерфейса сканирования вредоносных программ) нагрузка внедряла хук в функцию LdrLoadDll в ntdll.dll. Для получения постоянства на системе использовались задачи планировщика, маскирующиеся под обновление Google.

PureHVNC RAT предоставляет возможности скрытого виртуального сетевого управления, позволяя атакующему контролировать зараженную машину без видимости для пользователя. Конфигурация трояна сериализована с помощью protobuf, сжата Gzip и закодирована в Base64. Он собирает данные о системе, включая антивирусные продукты, привилегии пользователя, версию ОС и установленные приложения, а также отправляет на сервер управления.

Обнаруженные GitHub-аккаунты содержат репозитории с исполняемыми файлами и плагинами, причем коммиты совершаются из часового пояса UTC+0300. URL-адреса GitHub были встроены в исполняемый файл администратора-конструктора PureRAT, что указывает на их непосредственную связь с разработчиком, а не с заказчиком. Эти файлы поддерживают функциональность плагинов TwitchBot и YouTubeBot, включая подписки, лайки и клики по рекламе.

Расследование кампании ClickFix дает всестороннее представление об экосистеме Pure и ее операционных механизмах. Обнаружение конструктора PureRAT и информации о PureCrypter подчеркивает модульный и развивающийся характер этого набора вредоносных программ, представляющих ongoing угрозу для организаций по всему миру. Это исследование не только углубляет понимание семейства Pure, но и предоставляет практическую разведывательную информацию для специалистов по кибербезопасности и правоохранительных органов.