Empresas russas estão sendo alvo de uma campanha de phishing que distribui o malware PureRAT, cuja atividade aumentou quatro vezes no início de 2025 em comparação com o mesmo período de 2024, segundo a Kaspersky. A campanha, iniciada em março de 2023, utiliza e-mails com anexos RAR ou links que simulam documentos legítimos usando extensões duplas, como “.pdf.rar”. Dentro do arquivo, há um executável que se instala na pasta %AppData% e cria um script de inicialização para garantir sua execução automática.

Esse executável inicia a cadeia de infecção ao executar “ckcfb.exe”, que usa a ferramenta InstallUtil.exe para carregar o módulo principal do PureRAT, contido na DLL “Spydgozoi.dll”. O malware então se conecta a um servidor de comando e controle (C2) via SSL, enviando informações do sistema, como nome do computador, antivírus instalado e tempo de uso. O servidor responde com módulos adicionais capazes de executar comandos como reiniciar ou desligar o sistema, além de monitorar janelas ativas que contenham palavras como “senha”, “banco” ou “WhatsApp”, ativando ações maliciosas, como transferências não autorizadas ou substituição de carteiras de criptomoedas copiadas.

Simultaneamente, outro executável, “StilKrip.exe”, atua como um downloader e instala o stealer PureLogs, que coleta dados de navegadores, clientes de e-mail, VPNs, aplicativos de mensagens, carteiras digitais e gerenciadores de senhas. Com essas ferramentas, os cibercriminosos obtêm controle total do sistema, incluindo acesso remoto, keylogger e ativação de câmera e microfone. Segundo a Kaspersky, o principal vetor de infecção continua sendo o e-mail com arquivos maliciosos, representando uma ameaça direta à segurança de dados corporativos na Rússia.