SwaetRAT 맬웨어

SwaetRAT는 .NET 프레임워크를 사용하여 32비트 애플리케이션으로 구축된 원격 액세스 트로이 목마(RAT)입니다. 이러한 유형의 위협은 공격자가 손상된 시스템에 대한 무단 제어권을 얻어 사용자 활동을 모니터링하고, 민감한 정보를 추출하고, 명령을 원격으로 실행할 수 있도록 합니다.

키로깅 및 데이터 도난

SwaetRAT의 주요 기능 중 하나는 키로깅으로, 피해자가 입력한 모든 키 입력을 캡처합니다. 이 기능을 통해 로그인 자격 증명, 재무 세부 정보, 개인 메시지 및 기타 기밀 데이터를 기록할 수 있습니다. 또한 RAT는 'Log.tmp' 파일을 스캔하여 널리 사용되는 두 금융 플랫폼인 'Paypal' 및 'Binance'와 같은 키워드를 검색합니다. 일치하는 항목이 발견되면 정보가 공격자의 명령 및 제어(C2) 서버로 전송되어 사이버 범죄자에게 피해자의 재무 활동에 대한 통찰력을 제공합니다.

시스템 프로파일링 및 명령 실행

SwaetRAT는 고유한 시스템 ID, 사용자 이름, 운영 체제 정보, 설치된 보안 소프트웨어 및 사용자에게 관리자 권한이 있는지 여부를 포함한 다양한 시스템 세부 정보를 수집합니다. 정보 수집 외에도 RAT는 감염된 장치에서 여러 작업을 수행하는 다양한 명령을 지원합니다.

이 기능에는 PowerShell 스크립트 작성 및 실행, 원격 위치에서 파일 다운로드 및 실행, 스크린샷 캡처, 실시간으로 화면 활동 기록, 데스크톱에 파일 생성, 심지어 시스템에서 자체 제거가 포함됩니다. 이러한 기능은 신원 도용, 금융 사기, 추가 감염 및 장기적인 시스템 손상과 같은 결과를 초래할 수 있습니다.

감염 사슬 및 배포

SwaetRAT는 일반적으로 피해자를 손상된 ScreenConnect 클라이언트를 호스팅하는 사기성 웹사이트로 리디렉션하는 피싱 이메일을 통해 전달됩니다. 실행되면 클라이언트는 감염된 컴퓨터를 공격자가 제어하는 서버에 연결합니다.

그 후, VBS 스크립트가 시스템에 드롭되고, 인터넷에서 추가적인 안전하지 않은 코드를 검색합니다. 이 코드는 디코딩되고 실행되어 궁극적으로 Ande Loader가 배포되고, 이는 최종 페이로드로 SwaetRAT를 전달합니다.

SwaetRAT은 감염된 시스템에 대한 광범위한 제어 기능을 갖추고 있어 피해자에게 상당한 위험을 초래하고, 데이터 도난, 무단 감시, 손상된 장치의 추가 악용을 용이하게 합니다.