SwaetRAT rosszindulatú program
A SwaetRAT egy távelérési trójai (RAT), amely 32 bites alkalmazásként épül fel a .NET keretrendszer használatával. Ez a fajta fenyegetés lehetővé teszi a támadók számára, hogy jogosulatlan irányítást szerezzenek egy feltört rendszer felett, lehetővé téve számukra a felhasználói tevékenységek megfigyelését, érzékeny információk kinyerését és parancsok távoli végrehajtását.
Tartalomjegyzék
Billentyűnaplózás és adatlopás
A SwaetRAT egyik elsődleges funkciója a billentyűnaplózás, amely rögzíti az áldozat minden billentyűleütését. Ez a képesség lehetővé teszi a bejelentkezési adatok, pénzügyi adatok, személyes üzenetek és egyéb bizalmas adatok rögzítését. Ezenkívül a RAT a „Log.tmp” fájlban olyan kulcsszavakat keres, mint a „Paypal” és a „Binance”, két széles körben használt pénzügyi platform. Ha talál egyezést, az információkat továbbítják a támadó Command-and-Control (C2) szerverére, így a kiberbűnözők betekintést engednek az áldozat pénzügyi tevékenységébe.
Rendszerprofilozás és parancsvégrehajtás
A SwaetRAT különféle rendszeradatokat gyűjt össze, beleértve az egyedi rendszerazonosítót, a felhasználónevet, az operációs rendszerre vonatkozó információkat, a telepített biztonsági szoftvereket és azt, hogy a felhasználó rendelkezik-e rendszergazdai jogosultságokkal. Az információgyűjtésen túl a RAT számos parancsot támogat, amelyekkel több műveletet hajthat végre egy fertőzött eszközön.
Lehetőségei közé tartozik a PowerShell-szkriptek írása és végrehajtása, fájlok letöltése és indítása távoli helyekről, képernyőképek rögzítése, képernyőtevékenység valós időben történő rögzítése, fájlok létrehozása az asztalon, és még önmagának a rendszerből való eltávolítása is. Ezek a funkciók olyan következményekkel járhatnak, mint személyazonosság-lopás, pénzügyi csalás, további fertőzések és hosszan tartó rendszerkompromittálódás.
Fertőzési lánc és telepítés
A SwaetRAT rendszerint adathalász e-maileken keresztül érkezik, amelyek átirányítják az áldozatokat egy olyan csaló webhelyre, amely egy feltört ScreenConnect klienst tartalmaz. Végrehajtáskor az ügyfél összekapcsolja a fertőzött gépet egy támadó által vezérelt kiszolgálóval.
Ezt követően egy VBS-szkript kerül a rendszerbe, amely további nem biztonságos kódot kér le az internetről. Ezt a kódot dekódolják és végrehajtják, ami végül az Ande Loader telepítéséhez vezet, amely a SwaetRAT-ot szállítja végső rakományként.
A fertőzött rendszerek feletti kiterjedt ellenőrzésével a SwaetRAT jelentős kockázatot jelent az áldozatok számára, megkönnyítve az adatlopást, a jogosulatlan megfigyelést és a feltört eszközök további kihasználását.
