Pure malware
Check Point Research elemezte a Pure malware-család tevékenységét, különösen a PureHVNC RAT, a PureCrypter működését. Az elemzés egy olyan, nyolcnapos támadást dokumentál, amelyben kiberbűnözők hamis állásajánlatokkal csábították áldozataikat, majd a ClickFix phishing technikával – manipulált weboldalakkal és parancsokkal – fertőztek meg rendszereket. A kampány során több eszközt is bevetettek, így egy Rust alapú loader, a PureHVNC nevű RAT, valamint a Sliver C2-keretrendszer.
A fertőzött gépek letöltenek pluginokat GitHub-ról, amelyeket a RAT parancs-végrehajtó futtatható képességeinek bővítésére használnak, például fájlkezelésre, rejtett távoli asztali működésre, billentyűleütések naplózására, vagy akár a kamera és mikrofon távoli vezérlésére. Ezek a GitHub tartalmak közvetlenül kapcsolódnak a malware készítőjéhez, PureCoderhez.
A kutatók megfigyelték, hogy a rosszindulatú kód elrejti magát sandbox környezetben — szándékosan késlelteti a működését. A konfigurációs állományai, Base64-ben tömörítve kerülnek a gépre, és így dekódolódnak csak futtatásás közben, hogy megnehezítsék az észlelést és a vizsgálatot.
