Die Opfer glauben, einen rechtlichen Hinweis auf Urheberrechtsverstöße zu erhalten. Tatsächlich führen sie eine Datei manuell aus, die wie ein PDF-Dokument aussieht, in Wahrheit aber die Ausführung von PureLog einleitet. Dies geschieht über einen mehrstufigen, im Arbeitsspeicher ablaufenden Prozess, der mehrere Ladekomponenten und eine Reihe von Ausweichmanövern einsetzt – darunter eine Umgehung des Antimalware Scan Interface (AMSI) von Windows Defender, Techniken gegen virtuelle Maschinen sowie starke Verschleierung.

“Die Kampagne kombiniert Social Engineering, gestaffelte Auslieferung der Schadlast und Ausführung im Arbeitsspeicher, um sowohl Erkennung als auch forensische Analyse zu umgehen”, schreiben die Forscher. Das Öffnen des Anhangs oder Klicken auf den Link führt zu einem komprimierten Archiv. Darin liegen ein scheinbar harmloses Dokument, meist eine PDF-Datei, die zur Ausführung nötigen Begleitdateien sowie ein umbenanntes legitimes Werkzeug wie WinRAR, das zum Entpacken und Starten der Komponenten dient.

Die Ausführung umfasst einen zweistufigen Ladevorgang. Der erste, in Python geschriebene Lader startet die Infektionskette mit einer Prüfung der Umgebung auf Sandbox oder virtuelle Maschine. Anschließend entschlüsseln zwei aufeinanderfolgende .NET-Lader weitere Bestandteile der Schadlast; sie verschleiern zugleich den Ablauf und verzögern die vollständige Offenlegung der Schadsoftware.

“Der Python-basierte Lader und die beiden .NET-Lader sorgen für Redundanz und dateilose Ausführungswege und stellen sicher, dass die finale PureLog-Stealer-Schadlast zuverlässig und ohne Spuren auf der Festplatte gestartet wird”, so die Forscher. Als zusätzliche Tarnmaßnahme holt die Schadsoftware die Entschlüsselungsschlüssel zur Laufzeit von einem entfernten Server. So bleiben die Schadlasten außerhalb der Ausführung verschlüsselt, und Analysten können die finale Schadsoftware nur bei aktiver Ausführung extrahieren.

Die eigentliche PureLog-Schadlast wird schließlich direkt im Arbeitsspeicher ausgeführt und umgeht damit viele herkömmliche Schutzmechanismen, ohne nennenswerte Spuren zu hinterlassen. Einmal aktiv, verankert sich der Infostealer über Änderungen an der Registry, erstellt Bildschirmfotos, erfasst Systeminformationen und sammelt sensible Daten – darunter Anmeldedaten und Erweiterungen des Chrome-Browsers, Kryptowährungs-Wallets und weitere Systemangaben.

Nach Einschätzung der Forscher kann eine erfolgreiche Kompromittierung zu Diebstahl von Zugangsdaten, Übernahme von Konten und weiteren Eindringaktivitäten führen. Trend Micro sieht in den Tarn- und Verschleierungsmaßnahmen sowie der Ausführung im Arbeitsspeicher einen Beleg für die Bedeutung von verhaltensbasierter Erkennung, Netzwerk-Telemetrie und proaktiver Bedrohungssuche. “Insgesamt spiegelt diese Aktivität eine Abkehr von breiter, opportunistischer Schadsoftware-Verteilung hin zu gezielterem Vorgehen wider”, schreiben die Forscher, mit beobachteten Opfern in den Bereichen Behörden, Gesundheitswesen, Bildung und Gastgewerbe in mehreren Ländern.

Zur Abwehr empfiehlt Trend Micro, Nachrichten mit rechtlichen Drohungen und Anhängen per Filter zu markieren oder in einer Sandbox zu prüfen und Nutzer darin zu schulen, unerwartete rechtliche oder finanzielle Forderungen als hohes Risiko einzustufen. Weiter unten in der Angriffskette lässt sich die Ausführung von Skripten und Ladern eindämmen, etwa durch das Sperren nicht autorisierter Python-Ausführung auf Endgeräten, durch Anwendungs-Allowlisting und durch Überwachung verdächtiger Nutzung legitimer Werkzeuge. Zur Erkennung der dateilosen Aktivität im Arbeitsspeicher empfehlen die Forscher EDR- oder XDR-Lösungen mit Speicher-Scan und verhaltensbasierter Erkennung.