Зловреден софтуер SwaetRAT
SwaetRAT е троянски кон за отдалечен достъп (RAT), създаден като 32-битово приложение, използващо .NET framework. Този тип заплаха позволява на атакуващите да получат неоторизиран контрол върху компрометирана система, което им позволява да наблюдават активността на потребителите, да извличат чувствителна информация и да изпълняват команди от разстояние.
Съдържание
Keylogging и кражба на данни
Една от основните функции на SwaetRAT е keylogging, която улавя всяко натискане на клавиш, направено от жертвата. Тази възможност му позволява да записва идентификационни данни за вход, финансови подробности, лични съобщения и други поверителни данни. Освен това RAT сканира файла „Log.tmp“ за ключови думи като „Paypal“ и „Binance“, две широко използвани финансови платформи. Ако се намерят съвпадения, информацията се предава на сървъра за командване и управление (C2) на атакуващия, което дава на киберпрестъпниците представа за финансовата дейност на жертвата.
Профилиране на системата и изпълнение на команди
SwaetRAT събира различни системни подробности, включително уникален идентификатор на системата, потребителско име, информация за операционната система, инсталиран софтуер за сигурност и дали потребителят има администраторски привилегии. Освен събирането на информация, RAT поддържа набор от команди за извършване на множество действия на заразено устройство.
Възможностите му включват писане и изпълнение на PowerShell скриптове, изтегляне и стартиране на файлове от отдалечени местоположения, заснемане на екранни снимки, записване на активността на екрана в реално време, създаване на файлове на работния плот и дори премахване от системата. Тези функции могат да доведат до последствия като кражба на самоличност, финансови измами, допълнителни инфекции и продължителен компромет на системата.
Инфекционна верига и внедряване
SwaetRAT обикновено се доставя чрез фишинг имейли, които пренасочват жертвите към измамен уебсайт, хостващ компрометиран клиент ScreenConnect. Когато се изпълни, клиентът свързва заразената машина със сървър, контролиран от атакуващ.
След това в системата се пуска VBS скрипт, който извлича допълнителен опасен код от Интернет. Този код се декодира и изпълнява, което в крайна сметка води до внедряването на Ande Loader, който доставя SwaetRAT като окончателен полезен товар.
Със своя широк контрол върху заразените системи SwaetRAT представлява значителен риск за жертвите, улеснявайки кражба на данни, неразрешено наблюдение и по-нататъшно използване на компрометирани устройства.
