Publicação do código-fonte do Pure RAT

Apenas para fins informativos

PureRAT é uma ferramenta de acesso remoto escrita em .NET, usada para controle do sistema, roubo de dados e execução de comandos. Em 2025, a atividade ligada ao PureRAT aumentou quatro vezes, com empresas russas sendo particularmente afetadas.

As principais capacidades do RAT incluem: • controle total do sistema e execução de comandos; • roubo de dados (frequentemente bundled com o módulo PureLogs para coletar cookies e senhas do navegador); • evasão de análise (o arquivo é protegido com o ofuscador .NET Reactor).

A ferramenta foi observada em várias campanhas de phishing. Na última onda, contas de e-mail comprometidas enviaram mensagens contendo links falsos que redirecionavam os usuários para uma página ClickFix com um reCAPTCHA falso, alegadamente para verificar uma conexão segura.

Quando os usuários seguem o URL, eles são enviados para uma página web contendo código JavaScript com uma função assíncrona que, após um curto atraso, verifica se a página é exibida dentro de um iframe. O objetivo é redirecionar o usuário para o mesmo URL, mas via HTTP.

Como resultado, a vítima copia e executa um comando PowerShell malicioso que reúne informações do sistema e baixa um arquivo ZIP contendo um binário. Esse binário estabelece persistência no sistema e entrega o PureRAT via DLL side loading.

Mais sobre o PureRAT: • Malware PureRAT aumenta 4x em 2025, implantando PureLogs para visar empresas russas • Campanha de Phishing evolui para implantação do PureRAT - Infosecurity Magazine • Ataques de Phishing ClickFix em larga escala visam sistemas de hotéis com malware PureRAT

💬 Discutir