البرامج الضارة SwaetRAT
SwaetRAT هو حصان طروادة للوصول عن بعد (RAT) تم إنشاؤه كتطبيق 32 بت باستخدام إطار عمل .NET. يتيح هذا النوع من التهديدات للمهاجمين الحصول على سيطرة غير مصرح بها على نظام مخترق، مما يسمح لهم بمراقبة نشاط المستخدم واستخراج المعلومات الحساسة وتنفيذ الأوامر عن بُعد.
جدول المحتويات
تسجيل المفاتيح وسرقة البيانات
تتمثل إحدى الوظائف الأساسية لبرنامج SwaetRAT في تسجيل كل ضغطة مفتاح يقوم بها الضحية. تتيح هذه القدرة للبرنامج تسجيل بيانات اعتماد تسجيل الدخول والتفاصيل المالية والرسائل الشخصية وغيرها من البيانات السرية. بالإضافة إلى ذلك، يقوم البرنامج بفحص ملف "Log.tmp" بحثًا عن كلمات رئيسية مثل "Paypal" و"Binance"، وهما منصتان ماليتان مستخدمتان على نطاق واسع. إذا تم العثور على أي تطابقات، يتم نقل المعلومات إلى خادم Command-and-Control (C2) الخاص بالمهاجم، مما يمنح مجرمي الإنترنت نظرة ثاقبة على النشاط المالي للضحية.
إنشاء ملف تعريف للنظام وتنفيذ الأوامر
يجمع SwaetRAT تفاصيل مختلفة للنظام، بما في ذلك معرف النظام الفريد، واسم المستخدم، ومعلومات نظام التشغيل، وبرامج الأمان المثبتة وما إذا كان المستخدم يتمتع بامتيازات إدارية. وبخلاف جمع المعلومات، يدعم RAT مجموعة من الأوامر لأداء إجراءات متعددة على جهاز مصاب.
تتضمن قدراته كتابة وتنفيذ نصوص PowerShell، وتنزيل الملفات وتشغيلها من مواقع بعيدة، والتقاط لقطات شاشة، وتسجيل نشاط الشاشة في الوقت الفعلي، وإنشاء ملفات على سطح المكتب، وحتى إزالة نفسه من النظام. يمكن أن تؤدي هذه الوظائف إلى عواقب مثل سرقة الهوية، والاحتيال المالي، والمزيد من العدوى، واختراق النظام لفترة طويلة.
سلسلة العدوى والنشر
يتم عادةً تسليم SwaetRAT من خلال رسائل البريد الإلكتروني الاحتيالية التي تعيد توجيه الضحايا إلى موقع ويب احتيالي يستضيف عميل ScreenConnect مخترقًا. عند تنفيذه، يقوم العميل بربط الجهاز المصاب بخادم يتحكم فيه المهاجم.
بعد ذلك، يتم إسقاط نص VBS على النظام، والذي يقوم باسترداد كود غير آمن إضافي من الإنترنت. يتم فك تشفير هذا الكود وتنفيذه، مما يؤدي في النهاية إلى نشر Ande Loader، والذي يسلم SwaetRAT كحمولة نهائية.
بفضل سيطرته الواسعة على الأنظمة المصابة، يشكل SwaetRAT خطرًا كبيرًا على الضحايا، مما يسهل سرقة البيانات والمراقبة غير المصرح بها والمزيد من استغلال الأجهزة المصابة.
