Malware SwaetRAT
SwaetRAT è un Remote Access Trojan (RAT) creato come applicazione a 32 bit utilizzando il framework .NET. Questo tipo di minaccia consente agli aggressori di ottenere il controllo non autorizzato su un sistema compromesso, consentendo loro di monitorare l'attività degli utenti, estrarre informazioni sensibili ed eseguire comandi in remoto.
Sommario
Keylogging e furto di dati
Una delle funzioni principali di SwaetRAT è il keylogging, che cattura ogni battitura di tasti effettuata dalla vittima. Questa capacità gli consente di registrare credenziali di accesso, dettagli finanziari, messaggi personali e altri dati riservati. Inoltre, il RAT analizza il file 'Log.tmp' per parole chiave come 'Paypal' e 'Binance', due piattaforme finanziarie ampiamente utilizzate. Se vengono trovate corrispondenze, le informazioni vengono trasmesse al server Command-and-Control (C2) dell'attaccante, fornendo ai criminali informatici informazioni sull'attività finanziaria della vittima.
Profilazione del sistema ed esecuzione dei comandi
SwaetRAT raccoglie vari dettagli di sistema, tra cui l'ID di sistema univoco, il nome utente, le informazioni sul sistema operativo, il software di sicurezza installato e se l'utente ha privilegi amministrativi. Oltre alla raccolta di informazioni, RAT supporta una gamma di comandi per eseguire più azioni su un dispositivo infetto.
Le sue capacità includono la scrittura e l'esecuzione di script PowerShell, il download e l'avvio di file da posizioni remote, l'acquisizione di schermate, la registrazione dell'attività dello schermo in tempo reale, la creazione di file sul desktop e persino la rimozione di se stesso dal sistema. Queste funzionalità possono portare a conseguenze quali furto di identità, frode finanziaria, ulteriori infezioni e compromissione prolungata del sistema.
Catena di infezione e distribuzione
SwaetRAT viene solitamente distribuito tramite e-mail di phishing che reindirizzano le vittime a un sito Web fraudolento che ospita un client ScreenConnect compromesso. Quando viene eseguito, il client collega la macchina infetta a un server controllato dall'aggressore.
In seguito, uno script VBS viene scaricato sul sistema, che recupera ulteriore codice non sicuro da Internet. Questo codice viene decodificato ed eseguito, portando infine all'implementazione dell'Ande Loader, che fornisce SwaetRAT come payload finale.
Grazie al suo controllo esteso sui sistemi infetti, SwaetRAT rappresenta un rischio considerevole per le vittime, facilitando il furto di dati, la sorveglianza non autorizzata e l'ulteriore sfruttamento dei dispositivi compromessi.
