Μια νέα καμπάνια κακόβουλου λογισμικού στοχεύει οργανισμούς σε τομείς της υγειονομικής περίθαλψης, της κυβέρνησης, της εκπαίδευσης και της φιλοξενίας χρησιμοποιώντας έξυπνα συγκαλυμμένες ειδοποιήσεις παραβίασης πνευματικών δικαιωμάτων για την παράδοση του PureLog Stealer, ενός ισχυρού κακόβουλου λογισμικού που κλέβει πληροφορίες.
Η εκστρατεία, που αναλύθηκε για πρώτη φορά τον Μάρτιο του 2026, εξαπατά τα θύματα να εκτελέσουν ένα κακόβουλο αρχείο που μοιάζει με νόμιμο νομικό έγγραφο. Μόλις ανοίξει, το αρχείο ξεκινά μια ήσυχη αλλά πολύπλοκη αλυσίδα γεγονότων που τελειώνει με την κλοπή ευαίσθητων δεδομένων από το μηχάνημα του θύματος.
Το PureLog Stealer είναι ένας infostealer γνωστός για τη συλλογή διαπιστευτηρίων προγράμματος περιήγησης, δεδομένα πορτοφολιού κρυπτονομισμάτων, δεδομένα επέκτασης προγράμματος περιήγησης και γενικές πληροφορίες συστήματος.
Είναι ταξινομημένο ως εργαλείο χαμηλού κόστους και εύκολο στη χρήση, πράγμα που σημαίνει ότι μπορούν να το αναπτύξουν ακόμη και λιγότερο εξειδικευμένοι παράγοντες απειλών.
Η καμπάνια χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος (phishing) με κακόβουλους συνδέσμους λήψης — αντί για άμεσες επισυνάψεις — για να προσφέρει θέλγητρα για συγκεκριμένες γλώσσες, με παραλλαγές στη γερμανική γλώσσα που στοχεύουν τη Γερμανία και τις αγγλόφωνες εκδόσεις που στοχεύουν τον Καναδά και άλλες περιοχές.
Οι ερευνητές της Trend Micro εντόπισαν ότι η καμπάνια δεν βασίζεται σε τρωτά σημεία λογισμικού ή εκμεταλλεύσεις. Αντίθετα, εξαρτάται εξ ολοκλήρου από την κοινωνική μηχανική, πείθοντας τους χρήστες να τρέξουν με μη αυτόματο τρόπο ένα αρχείο μεταμφιεσμένο ως καταγγελία πνευματικών δικαιωμάτων.
Το κακόβουλο εκτελέσιμο φέρει ονόματα όπως “Τεκμηρίωση σχετικά με τα δικαιώματα πνευματικής ιδιοκτησίας Violations.exe,” κάνοντάς το να φαίνεται γνήσιο σε έναν ανυποψίαστο παραλήπτη.
Αυτή η προσέγγιση καθιστά την καμπάνια ιδιαίτερα επικίνδυνη, επειδή η τυπική διαχείριση ενημερώσεων κώδικα από μόνη της δεν μπορεί να τη σταματήσει.
Η εκστρατεία ήταν πιο ενεργή κατά οργανώσεων στη Γερμανία και τον Καναδά, με επιπλέον θύματα να παρατηρούνται στις Ηνωμένες Πολιτείες και την Αυστραλία.
Οι βιομηχανίες που στοχεύουν περιλαμβάνουν την υγειονομική περίθαλψη, την κυβέρνηση, τη φιλοξενία και την εκπαίδευση — τομείς που συχνά ασχολούνται με νομικές ειδοποιήσεις και έγγραφα συμμόρφωσης, καθιστώντας τη μορφή δόλωσης πνευματικών δικαιωμάτων εξαιρετικά πιστευτή.
Η επιλεκτική στόχευση και η τοπική παράδοση υποδηλώνουν μια δομημένη λειτουργία και όχι μια τυχαία μάζα καμπάνια ανεπιθύμητης αλληλογραφίας.
Αυτό που κάνει αυτή την απειλή να ξεχωρίζει είναι το επίπεδο τεχνικής πολυπλοκότητας που υφαίνεται σε όλη την αλυσίδα παράδοσης.
Το κακόβουλο λογισμικό χρησιμοποιεί κρυπτογραφημένα ωφέλιμα φορτία, απομακρυσμένη ανάκτηση κλειδιού αποκρυπτογράφησης και εκτέλεση πλήρως στη μνήμη — αφήνοντας πολύ λίγα εγκληματολογικά ίχνη σε μηχανήματα που έχουν υποστεί βλάβη.
Τα εργαλεία ανίχνευσης τελικών σημείων που βασίζονται στην παρακολούθηση δημιουργίας αρχείων δεν θα βρίσκουν σχεδόν τίποτα για να επισημάνουν.
Μέσα στην αλυσίδα μόλυνσης πολλαπλών σταδίων
Μόλις το θύμα εκτελέσει το κακόβουλο δέλεαρ, ένας διερμηνέας εντολών ξεκινάει σιωπηλά στο παρασκήνιο.
Για να απασχοληθεί ο χρήστης, ανοίγει αμέσως στην οθόνη ένα ακίνδυνο PDF decoy.
.webp.jpeg)
Εν τω μεταξύ, το κακόβουλο λογισμικό έρχεται σε επαφή με υποδομή που ελέγχεται από τους εισβολείς για να κατεβάσει ένα κρυπτογραφημένο αρχείο μεταμφιεσμένο σε αρχείο PDF με το όνομα invoice.pdf.
Αντί να ενσωματώσουν τον κωδικό αποκρυπτογράφησης μέσα στο ίδιο το κακόβουλο λογισμικό, οι εισβολείς τον ανακτούν εξ αποστάσεως από ένα ξεχωριστό τελικό σημείο διακομιστή κατά το χρόνο εκτέλεσης. Αυτός ο σχεδιασμός καθιστά την ανάλυση εκτός σύνδεσης σχεδόν αδύνατη και επιτρέπει στον εισβολέα να ελέγχει ή να ακυρώνει κάθε μόλυνση από απόσταση.
Ένα εκτελέσιμο αρχείο WinRAR που μετονομάστηκε – μεταμφιεσμένο σε αρχείο εικόνας PNG – χρησιμοποιεί στη συνέχεια αυτόν τον κωδικό πρόσβασης που ανακτήθηκε για να εξαγάγει το πραγματικό ωφέλιμο φορτίο.
.webp.jpeg)
Το εξαγόμενο περιεχόμενο περιλαμβάνει έναν μετονομασμένο διερμηνέα Python που ονομάζεται svchost.exe και ένα πολύ ασαφές σενάριο Python με το όνομα instructions.pdf.
Το σενάριο παρακάμπτει πρώτα τη διεπαφή σάρωσης Antimalware του Windows Defender επιδιορθώνοντας απευθείας τη μνήμη, εμποδίζοντας το σύστημα να σαρώσει όσα ακολουθούν.
.webp.jpeg)
Στη συνέχεια, καθιερώνει την επιμονή του μητρώου κάτω από HKCU\Run\SystemSettingsδιασφαλίζοντας ότι το κακόβουλο λογισμικό επανεκκινείται αυτόματα σε κάθε σύνδεση χρήστη.
Το σενάριο παίρνει επίσης ένα στιγμιότυπο οθόνης πλήρους οθόνης, συλλέγει το όνομα κεντρικού υπολογιστή του μηχανήματος, το όνομα χρήστη και εγκαθίσταται ονόματα προϊόντων προστασίας από ιούς και, στη συνέχεια, τα στέλνει όλα στον διακομιστή εντολών και ελέγχου μέσω αιτήματος HTTPS POST.
Τέλος, δύο πανομοιότυπα αρχεία φόρτωσης .NET αποκρυπτογραφούν και φορτώνουν το PureLog Stealer απευθείας στη μνήμη, χωρίς να αφήνουν αρχεία στο δίσκο για εύρεση εργαλείων προστασίας από ιούς.
.webp.jpeg)
Οι οργανισμοί θα πρέπει να εκπαιδεύουν τους υπαλλήλους να αντιμετωπίζουν με προσοχή τα απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου σχετικά με παραβιάσεις πνευματικών δικαιωμάτων, ειδικά αυτά που περιέχουν συνδέσμους λήψης.
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τα κλειδιά εκτέλεσης μητρώου για ασυνήθιστες καταχωρήσεις, να παρακολουθούν τις διεργασίες Python ή WinRAR που εκτελούνται από μη τυπικές διαδρομές καταλόγου και να αποκλείουν τις εξερχόμενες συνδέσεις σε γνωστούς κακόβουλους τομείς.
Τα εργαλεία ανίχνευσης συμπεριφοράς και η τηλεμετρία δικτύου είναι απαραίτητα, καθώς τα παραδοσιακά προγράμματα προστασίας από ιούς που βασίζονται σε υπογραφές ενδέχεται να χάσουν αυτή την καμπάνια εξ ολοκλήρου λόγω του σχεδιασμού εκτέλεσης χωρίς αρχεία.
