Бэкдор Pure маскируется под «сверки» и «акты»

Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ

Татьяна Никитина 20 Мая 2025 - 12:31

...

Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ

Мошенники активно рассылают в российские организации троянов Pure под видом бухгалтерских документов. По данным «Лаборатории Касперского», с января число таких имейл-атак возросло в четыре раза в сравнении с показателем годовой давности.

Семейство Windows-зловредов Pure (загрузчик PureCrypter, инфостилер PureLogs, бэкдоPureRAT) в ИБ-компании отслеживают с 2022 года. Многофункциональные трояны предоставляются в пользование по модели MaaS (Malware-as-a-Service, «вредонос как услуга»).

В рамках текущей кампании злоумышленники распространяют поддельные письма с вредоносной ссылкой или RAR-вложением, которое содержит исполняемый файл, замаскированный под документ PDF.

Имена архивных файлов обычно содержат слова doc, akt, sverka, buh, oplata. Иногда также встречаются упоминания компаний, разрабатывающих бухгалтерский софт или предоставляющих услуги по его внедрению.

При запуске вредоносный экзешник копирует себя в папку %AppData% под именем Task.exe, создает в папке автозапуска скрипт Task.vbs и извлекает из ресурсов файлы StilKrip.exe (PureCrypter, загружающий PureLogs) и Ckcfb.exe (PureRAT).

Последний собирает информацию о зараженной системе (версия ОС, имя пользователя и компьютера, установленный антивирус) и в формате protobuf передает ее на C2-сервер, устанавливая SSL-соединение.

В ответ троян может получить команду на загрузку дополнительных модулей с данными конфигурации. Таких плагинов у PureRAT несколько десятков.

Модуль PluginPcOption, например, способен по команде выполнять самоудаление, перезапуск текущего файла, выключение / перезагрузку компьютера. Компонент PluginWindowNotify отслеживает запуск финансовых сервисов, чтобы оператор зловреда смог подключиться в режиме удаленного стола и опустошить счет жертвы.

Вредонос PureLogs умеет воровать данные из браузеров на основе Chromium и Gecko, а также из следующих приложений:

почтовых клиентов Foxmail, Mailbird, Outlook, MailMaster;
файловых менеджеров FileZilla, WinSCP;
мессенджеров Discord, Pidgin, Signal, Telegram;
OpenVPN, Proton VPN;
Steam, DownloadManager, OBS Studio, ngrok;
криптокошельков (40 наименований).

Стилер также интересуется браузерными расширениями (кошельки, менеджеры паролей) и обладает функциями загрузчика — по команде с С2 скачивает с указанного ресурса файл и запускает на исполнение.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 19:27

Корпорации Системы управления доступом (IdM/IAM) Компания Индид

Indeed AM 9.4 получил новые сценарии аутентификации

Компания «Индид» выпустила новую версию системы управления доступом и многофакторной аутентификации Indeed Access Manager 9.4. В релизе сделали упор на три вещи: новые сценарии входа, более гибкие настройки доступа и упрощение внедрения в уже существующую ИТ-инфраструктуру.

Одно из заметных изменений — расширение списка поддерживаемых каталогов пользователей. В новой версии добавлена работа с ALD Pro, Samba DC, РЕД АДМ и FreeIPA.

Это важно прежде всего для компаний, которые строят инфраструктуру на разных платформах и хотят обойтись без лишних доработок при интеграции системы управления доступом.

Отдельно доработали модуль Identity Provider. Теперь в нём можно настраивать политики доступа не только в целом, но и на уровне отдельных бизнес-приложений. Проще говоря, правила аутентификации можно делать более точечными, в зависимости от конкретного сервиса. Там же появился сценарий смены доменного пароля при входе — он пригодится в случаях, когда у пользователя нет прямого доступа к доменной рабочей станции.

Изменения затронули и вход в систему на рабочих местах. В модуле Linux Logon появилась поддержка многофакторной аутентификации с использованием RFID-карт и считывателя IronLogic Z-2 USB, а также работа через балансировщик нагрузки. В Windows Logon добавили кеширование учётных данных, чтобы пользователь мог войти в систему даже без подключения к сети. Плюс там тоже появилась поддержка аутентификации по RFID-картам.

Ещё один блок обновлений связан с развертыванием системы. В Indeed AM 9.4 расширили возможности мастера конфигурации: теперь через него можно устанавливать компоненты сразу на несколько физических или виртуальных серверов, причём для каждого узла формируется отдельный набор настроек. Это должно сократить объём ручной конфигурации при внедрении и обновлении.

Через тот же мастер теперь можно разворачивать и Indeed Key Server. Этот компонент используется для аутентификации с помощью пуш-уведомлений и одноразовых паролей, а его установка в новой версии вынесена в более понятный сценарий.

Наконец, в системе появился новый вариант подтверждения входа — через мессенджер eXpress. Для этого добавлен отдельный провайдер Indeed AM eXpress Provider, который позволяет использовать пуш-уведомления в мессенджере для входа в корпоративные приложения.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!