Check Point dévoile l’écosystème « Pure » : ClickFix → Rust Loader → PureHVNC/PureRAT, liens GitHub vers « PureCoder »
Check Point Research publie une analyse technique d’une campagne ClickFix menant à l’infection par PureHVNC RAT et l’usage ultérieur de Sliver, avec un lien direct vers des comptes GitHub opérés par le développeur de la famille de malwares « PureCoder ». Chaîne d’infection (8 jours) 🧪/🐀: Accès initial via ClickFix (fausses offres d’emploi) copiant automatiquement une commande PowerShell qui dépose un JavaScript malveillant et crée une persistance (LNK dans Startup, C2 journalier par rotation de domaines). Déploiement de PureHVNC RAT (C2 54.197.141[.]245) avec IDs de campagne « 2a » puis « amazon3 » via un Loader Rust packagé (Inno Setup), persistant par tâche planifiée. Jour 8 : livraison d’un implant Sliver C2 (hxxps://jq-scripts.global.ssl[.]fastly[.]net) exécutant un script PowerShell qui exfiltre des identifiants saisis par l’utilisateur dans un prompt (stockés sous %ProgramData%/__cred.txt). Analyse du Rust Loader (évasion/anti-analyses) 🛡️: ...