Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ

Татьяна Никитина 20 Мая 2025 - 12:31
...
Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ

Мошенники активно рассылают в российские организации троянов Pure под видом бухгалтерских документов. По данным «Лаборатории Касперского», с января число таких имейл-атак возросло в четыре раза в сравнении с показателем годовой давности.

Семейство Windows-зловредов Pure (загрузчик PureCrypter, инфостилер PureLogs, бэкдоPureRAT) в ИБ-компании отслеживают с 2022 года. Многофункциональные трояны предоставляются в пользование по модели MaaS (Malware-as-a-Service, «вредонос как услуга»).

В рамках текущей кампании злоумышленники распространяют поддельные письма с вредоносной ссылкой или RAR-вложением, которое содержит исполняемый файл, замаскированный под документ PDF.

Имена архивных файлов обычно содержат слова doc, akt, sverka, buh, oplata. Иногда также встречаются упоминания компаний, разрабатывающих бухгалтерский софт или предоставляющих услуги по его внедрению.

При запуске вредоносный экзешник копирует себя в папку %AppData% под именем Task.exe, создает в папке автозапуска скрипт Task.vbs и извлекает из ресурсов файлы StilKrip.exe (PureCrypter, загружающий PureLogs) и Ckcfb.exe (PureRAT).

Последний собирает информацию о зараженной системе (версия ОС, имя пользователя и компьютера, установленный антивирус) и в формате protobuf передает ее на C2-сервер, устанавливая SSL-соединение.

В ответ троян может получить команду на загрузку дополнительных модулей с данными конфигурации. Таких плагинов у PureRAT несколько десятков.

Модуль PluginPcOption, например, способен по команде выполнять самоудаление, перезапуск текущего файла, выключение / перезагрузку компьютера. Компонент PluginWindowNotify отслеживает запуск финансовых сервисов, чтобы оператор зловреда смог подключиться в режиме удаленного стола и опустошить счет жертвы.

 

Вредонос PureLogs умеет воровать данные из браузеров на основе Chromium и Gecko, а также из следующих приложений:

  • почтовых клиентов Foxmail, Mailbird, Outlook, MailMaster;
  • файловых менеджеров FileZilla, WinSCP;
  • мессенджеров Discord, Pidgin, Signal, Telegram;
  • OpenVPN, Proton VPN;
  • Steam, DownloadManager, OBS Studio, ngrok;
  • криптокошельков (40 наименований).

Стилер также интересуется браузерными расширениями (кошельки, менеджеры паролей) и обладает функциями загрузчика — по команде с С2 скачивает с указанного ресурса файл и запускает на исполнение.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Путин поручил сохранить доступ к важным сервисам при отключениях интернета
Яков Шпунт 01 Июня 2026 - 12:26
Соответствие законодательству РФ Общее
Путин поручил сохранить доступ к важным сервисам при отключениях интернета

Президент Владимир Путин поручил правительству и Федеральной службе безопасности обеспечить бесперебойный доступ к ключевым интернет-сервисам даже в периоды ограничений, вводимых по соображениям безопасности. Ответственные за выполнение поручения должны отчитаться до 1 июля.

Это поручение вошло в перечень из 10 распоряжений, которые президент дал по итогам совещания с членами правительства, состоявшегося 23 апреля:

«Правительству Российской Федерации совместно с ФСБ России обеспечить бесперебойную работу важнейших сервисов, в том числе систем оказания медицинской помощи, федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», платёжных систем, и доступ граждан к таким сервисам в период ограничения функционирования информационно-телекоммуникационной сети интернет».

Отчитаться о ходе исполнения поручения правительство и ФСБ должны не позднее 1 июля. Ответственными назначены председатель правительства Михаил Мишустин и директор ФСБ Александр Бортников.

«Белый список» ресурсов, которые должны оставаться доступными при ограничениях мобильного интернета, Минцифры обнародовало в сентябре 2025 года. С тех пор перечень несколько раз обновлялся. Тем не менее в периоды отключений пользователи нередко жаловались на недоступность таких ресурсов, в частности во время мартовских ограничений мобильного интернета в Москве.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
С 1 апреля в России отключат пополнение Apple ID со счёта телефона
Новость
С 1 апреля в России отключат пополнение Apple ID со счёта те...
Минцифры утвердило подготовку требований о предоставлении обезличенных ПДн
Новость
Минцифры утвердило подготовку требований о предоставлении об...
Лжегазовщики атакуют россиян в онлайне и офлайне
Новость
Лжегазовщики атакуют россиян в онлайне и офлайне

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.