SwaetRAT kenkėjiška programa
SwaetRAT yra nuotolinės prieigos Trojos arklys (RAT), sukurtas kaip 32 bitų programa, naudojanti .NET sistemą. Šio tipo grėsmė leidžia užpuolikams neteisėtai valdyti pažeistą sistemą, leidžiančią stebėti vartotojo veiklą, išgauti neskelbtiną informaciją ir nuotoliniu būdu vykdyti komandas.
Turinys
Klavišų registravimas ir duomenų vagystė
Viena iš pagrindinių SwaetRAT funkcijų yra klavišų registravimas, kuris užfiksuoja kiekvieną aukos klavišo paspaudimą. Ši galimybė leidžia įrašyti prisijungimo duomenis, finansinę informaciją, asmeninius pranešimus ir kitus konfidencialius duomenis. Be to, RAT nuskaito „Log.tmp“ failą ir ieško raktinių žodžių, tokių kaip „Paypal“ ir „Binance“, dvi plačiai naudojamos finansinės platformos. Jei randama atitiktis, informacija perduodama į užpuoliko komandų ir valdymo (C2) serverį, suteikiant kibernetiniams nusikaltėliams įžvalgą apie aukos finansinę veiklą.
Sistemos profiliavimas ir komandų vykdymas
SwaetRAT renka įvairią sistemos informaciją, įskaitant unikalų sistemos ID, vartotojo vardą, operacinės sistemos informaciją, įdiegtą saugos programinę įrangą ir tai, ar vartotojas turi administratoriaus teises. Be informacijos rinkimo, RAT palaiko daugybę komandų, skirtų atlikti kelis veiksmus užkrėstame įrenginyje.
Jo galimybės apima „PowerShell“ scenarijų rašymą ir vykdymą, failų atsisiuntimą ir paleidimą iš atokių vietų, ekrano kopijų fiksavimą, ekrano veiklos įrašymą realiuoju laiku, failų kūrimą darbalaukyje ir net savęs pašalinimą iš sistemos. Šios funkcijos gali sukelti pasekmes, pvz., tapatybės vagystę, finansinį sukčiavimą, tolesnę užkrėtimą ir ilgalaikį sistemos pažeidimą.
Infekcijos grandinė ir diegimas
„SwaetRAT“ paprastai pristatomas per sukčiavimo el. laiškus, kurie nukreipia aukas į apgaulingą svetainę, kurioje yra pažeistas „ScreenConnect“ klientas. Kai vykdoma, klientas sujungia užkrėstą kompiuterį su užpuoliko valdomu serveriu.
Po to į sistemą nuleidžiamas VBS scenarijus, kuris nuskaito papildomą nesaugų kodą iš interneto. Šis kodas yra iššifruojamas ir vykdomas, todėl galiausiai įdiegiamas Ande Loader, kuris pateikia SwaetRAT kaip galutinę naudingąją apkrovą.
Išsamiai kontroliuojant užkrėstas sistemas, SwaetRAT kelia didelį pavojų aukoms, palengvina duomenų vagystes, neteisėtą stebėjimą ir tolesnį pažeistų įrenginių išnaudojimą.
