SwaetRAT-haittaohjelma
SwaetRAT on etäkäyttötroijalainen (RAT), joka on rakennettu 32-bittiseksi sovellukseksi, joka käyttää .NET-kehystä. Tämäntyyppinen uhka antaa hyökkääjille mahdollisuuden saada luvaton hallinta vaarantuneen järjestelmän yli, jolloin he voivat seurata käyttäjien toimintaa, poimia arkaluonteisia tietoja ja suorittaa komentoja etänä.
Sisällysluettelo
Näppäimien kirjaaminen ja tietojen varkaus
Yksi SwaetRATin ensisijaisista toiminnoista on näppäinten kirjaaminen, joka tallentaa jokaisen uhrin painalluksen. Tämän ominaisuuden avulla se voi tallentaa kirjautumistiedot, taloudelliset tiedot, henkilökohtaiset viestit ja muut luottamukselliset tiedot. Lisäksi RAT etsii "Log.tmp"-tiedostosta avainsanoja, kuten "Paypal" ja "Binance", kaksi laajalti käytettyä rahoitusalustaa. Jos osumia löytyy, tiedot välitetään hyökkääjän Command-and-Control (C2) -palvelimelle, mikä antaa kyberrikollisille käsityksen uhrin taloudellisesta toiminnasta.
Järjestelmän profilointi ja komentojen suoritus
SwaetRAT kerää erilaisia järjestelmätietoja, mukaan lukien yksilöllisen järjestelmätunnuksen, käyttäjätunnuksen, käyttöjärjestelmän tiedot, asennetut suojausohjelmistot ja sen, onko käyttäjällä järjestelmänvalvojan oikeudet. Tiedonkeruun lisäksi RAT tukee useita komentoja useiden toimien suorittamiseksi tartunnan saaneelle laitteelle.
Sen ominaisuuksiin kuuluu PowerShell-komentosarjojen kirjoittaminen ja suorittaminen, tiedostojen lataaminen ja käynnistäminen etäisistä paikoista, kuvakaappausten ottaminen, näytön toiminnan tallentaminen reaaliajassa, tiedostojen luominen työpöydälle ja jopa itsensä poistaminen järjestelmästä. Nämä toiminnot voivat johtaa seurauksiin, kuten identiteettivarkauksiin, taloudellisiin petoksiin, uusiin infektioihin ja pitkittyneisiin järjestelmän kompromisseihin.
Infektioketju ja käyttöönotto
SwaetRAT toimitetaan yleensä tietojenkalasteluviestien kautta, jotka ohjaavat uhrit petolliselle verkkosivustolle, joka isännöi vaarantunutta ScreenConnect-asiakasta. Kun se suoritetaan, asiakas yhdistää tartunnan saaneen koneen hyökkääjän ohjaamaan palvelimeen.
Tämän jälkeen järjestelmään pudotetaan VBS-skripti, joka hakee lisää vaarallista koodia Internetistä. Tämä koodi dekoodataan ja suoritetaan, mikä johtaa lopulta Ande Loaderin käyttöönottoon, joka toimittaa SwaetRAT:n lopullisena hyötykuormana.
Koska SwaetRAT hallitsee laajasti tartunnan saaneita järjestelmiä, se muodostaa huomattavan riskin uhreille, mikä helpottaa tietovarkauksia, luvatonta valvontaa ja vaarantuneiden laitteiden käyttöä.
