Neue PureRAT-Kampagne versteckt PE-Payloads in PNG-Dateien und führt diese ohne Datei aus

Eine neue und hochentwickelte Malware-Kampagne wurde entdeckt, die einen Remote Access Trojaner (RAT) namens PureRAT nutzt, um Windows-Systeme unbemerkt zu kompromittieren.

Was diese Kampagne besonders macht, ist, wie ge Eine neue und hochentwickelte Malware-Kampagne wurde entdeckt, die einen Remote Access Trojaner (RAT) namens PureRAT nutzt, um Windows-Systeme unbemerkt zu kompromittieren. Was diese Kampagne besonders macht, ist, wie geschickt sie bösartigen Code in gewöhnlich aussehende PNG-Bilddateien versteckt.

Sobald die Infektion greift, läuft die Malware vollständig im Speicher, hinterlässt daher kaum Spuren auf der Festplatte und macht sie für herkömmliche Sicherheitstools schwer zu erkennen. Diese Technik, bekannt als fileless execution, spiegelt einen wachsenden Wandel darin wider, wie Threat Actors Malware verbreiten, während sie verborgen bleiben.

PureRAT basiert auf einer mehrstufigen Infektionskette. Der Angriff beginnt mit einer bösartigen .lnk-Datei, einem Windows-Verknüpfungsdatei, dem die meisten Benutzer vertrauen, da sie Dateien ähneln, die zum Öffnen normaler Anwendungen verwendet werden.

Wenn ein Opfer diese Verknüpfung öffnet, wird ein versteckter PowerShell-Befehl ohne Wissen des Benutzers leise gestartet. Dieser Befehl kontaktiert einen entfernten Server und ruft ein PNG-Bild ab, das die bösartige Nutzlast mittels Steganographie enthält.