SwaetRAT Malware
SwaetRAT je trojanac s udaljenim pristupom (RAT) izgrađen kao 32-bitna aplikacija koja koristi .NET okvir. Ova vrsta prijetnje napadačima omogućuje neovlaštenu kontrolu nad kompromitiranim sustavom, omogućujući im praćenje aktivnosti korisnika, izvlačenje osjetljivih informacija i izvršavanje naredbi na daljinu.
Sadržaj
Keylogging i krađa podataka
Jedna od primarnih funkcija SwaetRAT-a je keylogging, koja bilježi svaki pritisak na tipku žrtve. Ova mogućnost omogućuje snimanje vjerodajnica za prijavu, financijskih detalja, osobnih poruka i drugih povjerljivih podataka. Uz to, RAT skenira datoteku 'Log.tmp' u potrazi za ključnim riječima kao što su 'Paypal' i 'Binance', dvije široko korištene financijske platforme. Ako se pronađu podudarnosti, informacije se prenose napadačevom Command-and-Control (C2) serveru, dajući kibernetičkim kriminalcima uvid u financijske aktivnosti žrtve.
Profiliranje sustava i izvršavanje naredbi
SwaetRAT prikuplja različite podatke o sustavu, uključujući jedinstveni ID sustava, korisničko ime, informacije o operativnom sustavu, instalirani sigurnosni softver i ima li korisnik administrativne ovlasti. Osim prikupljanja informacija, RAT podržava niz naredbi za izvođenje više radnji na zaraženom uređaju.
Njegove mogućnosti uključuju pisanje i izvršavanje PowerShell skripti, preuzimanje i pokretanje datoteka s udaljenih lokacija, snimanje snimki zaslona, snimanje aktivnosti zaslona u stvarnom vremenu, stvaranje datoteka na radnoj površini, pa čak i uklanjanje iz sustava. Ove funkcionalnosti mogu dovesti do posljedica kao što su krađa identiteta, financijska prijevara, daljnje infekcije i dugotrajno ugrožavanje sustava.
Lanac infekcije i implementacija
SwaetRAT se obično isporučuje putem phishing e-poruka koje preusmjeravaju žrtve na lažnu web stranicu koja hostira kompromitirani klijent ScreenConnect. Kada se izvrši, klijent povezuje zaraženo računalo s poslužiteljem kojim upravlja napadač.
Nakon toga, VBS skripta ispušta se u sustav, koja dohvaća dodatni nesigurni kod s Interneta. Taj se kod dekodira i izvršava, što u konačnici dovodi do postavljanja Ande Loadera, koji isporučuje SwaetRAT kao konačni korisni teret.
Sa svojom opsežnom kontrolom nad zaraženim sustavima, SwaetRAT predstavlja značajan rizik za žrtve, olakšavajući krađu podataka, neovlašteni nadzor i daljnje iskorištavanje kompromitiranih uređaja.
