Các nhà nghiên cứu an ninh mạng gần đây đã ghi nhận sự gia tăng đáng kể các chiến dịch tấn công có chủ đích sử dụng tập tin nén RAR chứa mã độc nhằm xâm nhập vào hệ thống của nhiều tổ chức. Chiến dịch tấn công này được phát hiện lần đầu vào tháng 3 năm 2023, và chỉ trong bốn tháng đầu năm 2025, số lượng tấn công đã tăng gấp bốn lần so với cùng kỳ năm trước. Kẻ tấn công chủ yếu sử dụng một dòng mã độc tên Pure, được cung cấp dưới hình thức dịch vụ (malware-as-a-service – MaaS), cho phép nhiều nhóm tội phạm mạng dễ dàng triển khai.
Phương thức tấn công phổ biến nhất trong chiến dịch này là gửi email spam đính kèm tập tin RAR độc hại hoặc chứa liên kết đến các tập tin đó. Các file thường được đặt tên tương tự tài liệu kế toán, sử dụng kỹ thuật đánh lừa như đuôi kép (.pdf.rar) để khiến người dùng lầm tưởng đó là tập tin an toàn.
Khi người dùng mở tập tin, mã độc ẩn bên trong sẽ được thực thi, khởi động một chuỗi lây nhiễm phức tạp. Trước hết, một tệp thực thi giả dạng PDF sẽ tự sao chép vào thư mục %AppData% dưới tên “Task.exe” và thiết lập cơ chế tự khởi động thông qua tập tin VBS trong thư mục Startup của Windows.
Sau đó, mã độc sẽ giải mã và tải về các payload bổ sung, trong đó có PureRAT – một dạng backdoor tinh vi, thiết lập kết nối bảo mật (SSL) với máy chủ điều khiển (C2), truyền dữ liệu theo định dạng protobuf nén bằng gzip. Thông tin bị đánh cắp bao gồm: mã định danh hệ thống, phần mềm bảo mật đang hoạt động, phiên bản hệ điều hành, tên người dùng và máy tính, địa chỉ IP, danh sách endpoint C2 và thời gian hệ thống đã hoạt động.
Mã độc sử dụng nhiều plugin mở rộng: giám sát cửa sổ ứng dụng, đánh cắp ví tiền mã hóa, thay thế địa chỉ ví, theo dõi clipboard, chụp màn hình và thực thi lệnh từ xa. Tất cả hoạt động đều được thực hiện âm thầm, khó phát hiện. Chiến dịch còn tích hợp PureCrypter, một loader có khả năng tải thêm các thành phần mã độc khác được ngụy trang dưới định dạng file thông thường như .wav. Các file này sau đó sẽ được giải mã và thực thi trực tiếp trong bộ nhớ, né tránh cơ chế phát hiện.
PureCrypter tiếp tục duy trì hiện diện bằng cách tiêm mã độc vào các tiến trình hợp pháp như InstallUtil.exe và cuối cùng triển khai mã độc PureLogs – một công cụ chuyên đánh cắp thông tin người dùng trên diện rộng. PureLogs có thể lấy cắp dữ liệu từ trình duyệt (Chromium, Gecko), phần mềm email (Foxmail, Mailbird, Outlook), công cụ chuyển file (FileZilla, WinSCP), ứng dụng chơi game, nhắn tin (Discord, Telegram), phần mềm VPN và ví tiền mã hóa. Các tiện ích mở rộng trình duyệt liên quan đến lưu trữ mật khẩu hoặc giao dịch tiền mã hóa là mục tiêu đặc biệt của mã độc này.
Ngoài khả năng đánh cắp thông tin, PureLogs còn có thể thực thi lệnh từ xa, tải xuống và kích hoạt các tập tin, thu thập dữ liệu từ thư mục được chỉ định và gửi chúng đến máy chủ điều khiển, gây ra rủi ro nghiêm trọng cho tổ chức bị xâm nhập.
