Κακόβουλο λογισμικό SwaetRAT
Το SwaetRAT είναι ένας Trojan απομακρυσμένης πρόσβασης (RAT) που δημιουργήθηκε ως εφαρμογή 32-bit χρησιμοποιώντας το πλαίσιο .NET. Αυτός ο τύπος απειλής επιτρέπει στους εισβολείς να αποκτήσουν μη εξουσιοδοτημένο έλεγχο σε ένα παραβιασμένο σύστημα, επιτρέποντάς τους να παρακολουθούν τη δραστηριότητα των χρηστών, να εξάγουν ευαίσθητες πληροφορίες και να εκτελούν εντολές εξ αποστάσεως.
Πίνακας περιεχομένων
Καταγραφή κλειδιών και κλοπή δεδομένων
Μία από τις κύριες λειτουργίες του SwaetRAT είναι η καταγραφή πλήκτρων, η οποία καταγράφει κάθε πάτημα πλήκτρων από το θύμα. Αυτή η δυνατότητα του επιτρέπει να καταγράφει διαπιστευτήρια σύνδεσης, οικονομικές λεπτομέρειες, προσωπικά μηνύματα και άλλα εμπιστευτικά δεδομένα. Επιπλέον, το RAT σαρώνει το αρχείο «Log.tmp» για λέξεις-κλειδιά όπως «Paypal» και «Binance», δύο ευρέως χρησιμοποιούμενες οικονομικές πλατφόρμες. Εάν εντοπιστούν αντιστοιχίες, οι πληροφορίες μεταδίδονται στον διακομιστή Command-and-Control (C2) του εισβολέα, δίνοντας στους εγκληματίες του κυβερνοχώρου πληροφορίες για την οικονομική δραστηριότητα του θύματος.
Προφίλ συστήματος και εκτέλεση εντολών
Το SwaetRAT συγκεντρώνει διάφορες λεπτομέρειες συστήματος, όπως το μοναδικό αναγνωριστικό συστήματος, το όνομα χρήστη, τις πληροφορίες του λειτουργικού συστήματος, το εγκατεστημένο λογισμικό ασφαλείας και το εάν ο χρήστης έχει δικαιώματα διαχειριστή. Πέρα από τη συλλογή πληροφοριών, το RAT υποστηρίζει μια σειρά από εντολές για την εκτέλεση πολλαπλών ενεργειών σε μια μολυσμένη συσκευή.
Οι δυνατότητές του περιλαμβάνουν τη σύνταξη και εκτέλεση σεναρίων PowerShell, τη λήψη και την εκκίνηση αρχείων από απομακρυσμένες τοποθεσίες, τη λήψη στιγμιότυπων οθόνης, την καταγραφή της δραστηριότητας της οθόνης σε πραγματικό χρόνο, τη δημιουργία αρχείων στην επιφάνεια εργασίας, ακόμη και την αφαίρεση από το σύστημα. Αυτές οι λειτουργίες μπορούν να οδηγήσουν σε συνέπειες όπως κλοπή ταυτότητας, οικονομική απάτη, περαιτέρω μολύνσεις και παρατεταμένο συμβιβασμό του συστήματος.
Αλυσίδα μόλυνσης και ανάπτυξη
Το SwaetRAT συνήθως παραδίδεται μέσω email ηλεκτρονικού ψαρέματος που ανακατευθύνουν τα θύματα σε έναν δόλιο ιστότοπο που φιλοξενεί ένα παραβιασμένο πρόγραμμα-πελάτη ScreenConnect. Όταν εκτελείται, ο πελάτης συνδέει το μολυσμένο μηχάνημα με έναν διακομιστή που ελέγχεται από εισβολείς.
Μετά από αυτό, ένα σενάριο VBS πέφτει στο σύστημα, το οποίο ανακτά επιπλέον μη ασφαλή κώδικα από το Διαδίκτυο. Αυτός ο κώδικας αποκωδικοποιείται και εκτελείται, οδηγώντας τελικά στην ανάπτυξη του Ande Loader, ο οποίος παραδίδει το SwaetRAT ως το τελικό ωφέλιμο φορτίο.
Με τον εκτεταμένο έλεγχό του στα μολυσμένα συστήματα, το SwaetRAT ενέχει σημαντικό κίνδυνο για τα θύματα, διευκολύνοντας την κλοπή δεδομένων, την μη εξουσιοδοτημένη παρακολούθηση και την περαιτέρω εκμετάλλευση των παραβιασμένων συσκευών.
