स्वेटआरएटी मैलवेयर
स्वेटआरएटी एक रिमोट एक्सेस ट्रोजन (आरएटी) है जिसे .NET फ्रेमवर्क का उपयोग करके 32-बिट एप्लिकेशन के रूप में बनाया गया है। इस प्रकार का खतरा हमलावरों को एक समझौता किए गए सिस्टम पर अनधिकृत नियंत्रण प्राप्त करने में सक्षम बनाता है, जिससे उन्हें उपयोगकर्ता गतिविधि की निगरानी करने, संवेदनशील जानकारी निकालने और दूरस्थ रूप से कमांड निष्पादित करने की अनुमति मिलती है।
विषयसूची
कीलॉगिंग और डेटा चोरी
स्वेटआरएटी के प्राथमिक कार्यों में से एक कीलॉगिंग है, जो पीड़ित द्वारा किए गए प्रत्येक कीस्ट्रोक को कैप्चर करता है। यह क्षमता इसे लॉगिन क्रेडेंशियल, वित्तीय विवरण, व्यक्तिगत संदेश और अन्य गोपनीय डेटा रिकॉर्ड करने की अनुमति देती है। इसके अतिरिक्त, RAT 'Paypal' और 'Binance' जैसे कीवर्ड के लिए 'Log.tmp' फ़ाइल को स्कैन करता है, जो दो व्यापक रूप से उपयोग किए जाने वाले वित्तीय प्लेटफ़ॉर्म हैं। यदि कोई मिलान पाया जाता है, तो जानकारी हमलावर के कमांड-एंड-कंट्रोल (C2) सर्वर पर प्रेषित की जाती है, जिससे साइबर अपराधियों को पीड़ित की वित्तीय गतिविधि के बारे में जानकारी मिलती है।
सिस्टम प्रोफाइलिंग और कमांड निष्पादन
स्वेटआरएटी विभिन्न सिस्टम विवरण एकत्र करता है, जिसमें अद्वितीय सिस्टम आईडी, उपयोगकर्ता नाम, ऑपरेटिंग सिस्टम जानकारी, इंस्टॉल किए गए सुरक्षा सॉफ़्टवेयर और उपयोगकर्ता के पास प्रशासनिक विशेषाधिकार हैं या नहीं। सूचना संग्रह से परे, आरएटी संक्रमित डिवाइस पर कई क्रियाएं करने के लिए कई कमांड का समर्थन करता है।
इसकी क्षमताओं में पॉवरशेल स्क्रिप्ट लिखना और निष्पादित करना, दूरस्थ स्थानों से फ़ाइलें डाउनलोड करना और लॉन्च करना, स्क्रीनशॉट कैप्चर करना, वास्तविक समय में स्क्रीन गतिविधि रिकॉर्ड करना, डेस्कटॉप पर फ़ाइलें बनाना और यहां तक कि सिस्टम से खुद को हटाना भी शामिल है। इन कार्यक्षमताओं के कारण पहचान की चोरी, वित्तीय धोखाधड़ी, आगे के संक्रमण और लंबे समय तक सिस्टम से समझौता जैसे परिणाम हो सकते हैं।
संक्रमण श्रृंखला और तैनाती
स्वेटआरएटी को आम तौर पर फ़िशिंग ईमेल के ज़रिए भेजा जाता है जो पीड़ितों को एक धोखाधड़ी वाली वेबसाइट पर रीडायरेक्ट करता है जो एक समझौता किए गए स्क्रीनकनेक्ट क्लाइंट को होस्ट करता है। जब इसे निष्पादित किया जाता है, तो क्लाइंट संक्रमित मशीन को हमलावर द्वारा नियंत्रित सर्वर से जोड़ता है।
इसके बाद, सिस्टम पर एक VBS स्क्रिप्ट डाली जाती है, जो इंटरनेट से अतिरिक्त असुरक्षित कोड प्राप्त करती है। इस कोड को डिकोड किया जाता है और निष्पादित किया जाता है, जिससे अंततः एंडी लोडर की तैनाती होती है, जो अंतिम पेलोड के रूप में स्वेटआरएटी वितरित करता है।
संक्रमित प्रणालियों पर अपने व्यापक नियंत्रण के साथ, SwaetRAT पीड़ितों के लिए काफी जोखिम उत्पन्न करता है, जिससे डेटा चोरी, अनधिकृत निगरानी, तथा संक्रमित उपकरणों के और अधिक दोहन की संभावना बढ़ जाती है।
