Авторское право как наживка: как PureLog Stealer атакует больницы и госорганы

Фишинговые письма с угрозами судебного преследования за нарушение авторских прав давно стали расхожим инструментом мошенников. Но группа, стоящая за кампанией PureLog Stealer, подняла эту технику на принципиально другой уровень: персонализированные юридические уведомления на языке жертвы, шесть стадий заражения без единого эксплойта и полностью бесфайловое выполнение в памяти. Цели — здравоохранение, государственные структуры, сфера гостеприимства и образование. Особенно пострадали Германия и Канада.

Письма выглядят убедительно именно потому, что подбираются под конкретного получателя. Немецкоязычные организации получают уведомления на немецком, англоязычные — на английском. Вложение или ссылка подаётся как пакет документов о нарушении прав интеллектуальной собственности. Часть кампании шла вообще через Google Ads — вредоносная реклама с трекинговыми параметрами gclid, gad_source и gad_campaignid, которые обычно ассоциируются с легитимными рекламными кампаниями.
Когда пользователь запускает файл Dokumentation über Verstöße gegen Rechte des geistigen Eigentums.exe («Документация о нарушениях прав интеллектуальной собственности»), первое, что он видит — открывается обычный PDF. Никакой тревоги. Тем временем через cmd.exe запускается цепочка команд: утилита curl с заголовком curl/meow_meow скачивает зашифрованный архив invoice.pdf с сервера quickdocshare[.]com/DQ, а пароль к нему подтягивается отдельным запросом с того же сервера по пути /DQ/key. Это позволяет атакующим менять ключи под каждую жертву, не трогая основной дроппер.
Архив распаковывает переименованный WinRAR — файл с именем FILE_2025년_재직증명서_원본.png («Оригинал справки о трудоустройстве 2025 года»). Содержимое распаковывается в C:\Users\Public\. После этого архив удаляется командой del ".\_\invoice.pdf", чтобы не оставлять следов. Финальная команда запускает svchost.exe "instructions.pdf" — но svchost.exe здесь это легально подписанный, но переименованный python.exe, лежащий по пути C:\Users\Public\Windows\svchost.exe (SHA1: f4532fc1e5d53a732fcc883f7125ceb06b985048), а instructions.pdf — обфусцированный Python-скрипт.
Аналитики выделили два варианта цепочки заражения. В более раннем варианте полезная нагрузка скачивалась с живого C&C-сервера, ключ нигде не хранился на диске и запрашивался динамически. В более свежем варианте всё зашито внутрь дроппера заранее: ключ efvBE97W7Ke4RnZaDTXOJzgqa04EPfz9 прописан прямо в командной строке, а Python-код передаётся инлайн через svchost.exe -c "exec(base64...)". После запуска дроппера сеть больше не нужна — вся работа идёт автономно.
Python-загрузчик (instructions.pdf) обфусцирован с использованием Base64 и многочленных арифметических выражений. Первое, что он делает — патчит AmsiScanBuffer, заменяя JZ/JNZ на безусловные JMP, что нейтрализует Windows AMSI. Затем через COM vtable и вызов AppDomain.Load_3() в памяти без записи на диск загружается.NET-компонент. Параллельно прописывается запись в реестр под именем SystemSettings в ключе автозапуска пользователя. Через GDI API создаётся 24-битный скриншот экрана в формате BGR PNG, кодируется в Base64 и уходит на сервер. Через WMIC с обращением к пространству имён SecurityCenter2 перечисляются установленные антивирусные продукты. Чтобы одна и та же машина не регистрировалась дважды, в реестровый ключ AppModel\StateRepository\CacheVersion записывается флаг 1337.
Для финальной доставки PureLog Stealer Python-скрипт декодирует два XOR-зашифрованных.NET-загрузчика одновременно — Dgrfauysx.exe и Fsywsuac.exe. Оба обфусцированы через ConfuserEx на основе машины состояний. Ресурсы в них называются Filkxqmxu и Cgwcx соответственно. Расшифровка идёт через TripleDES-CBC, ключ и IV хранятся в Base64 в куче US. После распаковки GZip-потока через System.IO.Compression.GZipStream PureLog Stealer загружается через Assembly.Load(). Двойной запуск — это страховка: если один загрузчик заблокирует антивирус, второй доработает. В конце каждый загрузчик вызывает GC.Collect() для зачистки следов в памяти.
Данные, которые утекают с заражённой машины, весьма конкретны: учётные данные из Chrome и его расширений, содержимое криптовалютных кошельков, системная информация. В перехваченном Protobuf-дампе видно: идентификатор машины FD16FECEDAB57B025AB53AD9CA4C882F, операционная система Windows 11 64Bit, установленные антивирусы Windows Defender и Trend Micro Apex One, версия агента 4.3.0, внешний IP 64.40.154.96 (Tier.Net Technologies LLC), PID 56001, путь исполнения C:\Users\Public\Windows\svchost.exe. Время работы на момент снятия дампа: 0d 0h 0m 0s — машина только что заразилась.
Сетевая инфраструктура атаки включает несколько узлов: C&C-сервер 166[.]0[.]184[.]127, домены logs[.]bestshopingday[.]com, dq[.]bestshoppingday[.]com, mh[.]bestshopingday[.]com, quickdocshare[.]com и IP 172[.]64[.]80[.]1 (Cloudflare). Исходный вредоносный ZIP-архив Notice of Alleged Violation of Intellectual Property Rights_1770380091603.zip (SHA256: 35efc4b75a1d70c38513b4dfe549da417aaa476bf7e9ebd00265aaa8c7295870) распространялся через CDN по адресу [.]eideasrl[.]it/. Основной исполняемый файл — переименованный ADNotificationManager.exe (SHA256: 1539dab6099d860add8330bf2a008a4b6dc05c71f7b4439aebf431e034e5b6ff).
Правило обнаружения для платформы TrendAI Vision One было создано 6 февраля 2026 года под названием «Executable Download via Google Ads Malvertising». Логика: eventsub and bin_download and google_ads_params and not 1 of whitelist_. Поиск по существующим инфраструктурам возможен через запрос detectionName:PURELOGSSTEALER в Search App. PureLog Stealer — недорогой и относительно простой в использовании стилер, что делает его привлекательным для широкого круга злоумышленников с разным уровнем технической подготовки. Именно поэтому такие многоступенчатые обёртки над простым ядром и становятся нормой: сам инструмент дешёвый, а инфраструктура вокруг него — серьёзная.