Programari maliciós SwaetRAT
SwaetRAT és un troià d'accés remot (RAT) creat com una aplicació de 32 bits utilitzant el framework .NET. Aquest tipus d'amenaça permet als atacants obtenir un control no autoritzat sobre un sistema compromès, cosa que els permet controlar l'activitat dels usuaris, extreure informació sensible i executar ordres de forma remota.
Taula de continguts
Enregistrament de tecles i robatori de dades
Una de les funcions principals de SwaetRAT és el registre de tecles, que captura totes les pulsacions de tecla fetes per la víctima. Aquesta capacitat li permet registrar credencials d'inici de sessió, detalls financers, missatges personals i altres dades confidencials. A més, el RAT escaneja el fitxer "Log.tmp" a la recerca de paraules clau com "Paypal" i "Binance", dues plataformes financeres molt utilitzades. Si es troba alguna coincidència, la informació es transmet al servidor de comandament i control (C2) de l'atacant, que ofereix als ciberdelinqüents una visió de l'activitat financera de la víctima.
Perfil del sistema i execució d'ordres
SwaetRAT recull diversos detalls del sistema, com ara l'identificador únic del sistema, el nom d'usuari, la informació del sistema operatiu, el programari de seguretat instal·lat i si l'usuari té privilegis administratius. Més enllà de la recollida d'informació, el RAT admet una sèrie d'ordres per dur a terme diverses accions en un dispositiu infectat.
Les seves capacitats inclouen escriure i executar scripts de PowerShell, descarregar i llançar fitxers des d'ubicacions remotes, capturar captures de pantalla, gravar l'activitat de la pantalla en temps real, crear fitxers a l'escriptori i fins i tot eliminar-se del sistema. Aquestes funcionalitats poden provocar conseqüències com el robatori d'identitat, el frau financer, més infeccions i el compromís prolongat del sistema.
Cadena d'infecció i desplegament
SwaetRAT s'envia normalment a través de correus electrònics de pesca que redirigeixen les víctimes a un lloc web fraudulent que allotja un client de ScreenConnect compromès. Quan s'executa, el client connecta la màquina infectada a un servidor controlat per un atacant.
Després d'això, s'inclou un script VBS al sistema, que recupera codi insegur addicional d'Internet. Aquest codi es descodifica i s'executa, donant lloc, finalment, al desplegament de l' Ande Loader, que ofereix SwaetRAT com a càrrega útil final.
Amb el seu ampli control sobre els sistemes infectats, SwaetRAT suposa un risc considerable per a les víctimes, facilitant el robatori de dades, la vigilància no autoritzada i una major explotació de dispositius compromesos.
