SwaetRAT ļaunprātīga programmatūra
SwaetRAT ir attālās piekļuves Trojas zirgs (RAT), kas izveidots kā 32 bitu lietojumprogramma, izmantojot .NET ietvaru. Šāda veida draudi ļauj uzbrucējiem iegūt nesankcionētu kontroli pār apdraudētu sistēmu, ļaujot viņiem pārraudzīt lietotāju darbības, iegūt sensitīvu informāciju un izpildīt komandas attālināti.
Satura rādītājs
Taustiņu bloķēšana un datu zādzība
Viena no SwaetRAT galvenajām funkcijām ir taustiņu reģistrēšana, kas fiksē katru cietušā taustiņsitienu. Šī iespēja ļauj ierakstīt pieteikšanās akreditācijas datus, finanšu informāciju, personīgās ziņas un citus konfidenciālus datus. Turklāt RAT skenē “Log.tmp” failu, meklējot tādus atslēgvārdus kā “Paypal” un “Binance”, divas plaši izmantotas finanšu platformas. Ja tiek atrastas atbilstības, informācija tiek pārsūtīta uz uzbrucēja Command-and-Control (C2) serveri, sniedzot kibernoziedzniekiem ieskatu upura finansiālajā darbībā.
Sistēmas profilēšana un komandu izpilde
SwaetRAT apkopo dažādas sistēmas detaļas, tostarp unikālo sistēmas ID, lietotājvārdu, operētājsistēmas informāciju, instalēto drošības programmatūru un to, vai lietotājam ir administratīvās tiesības. Papildus informācijas apkopošanai RAT atbalsta virkni komandu, lai veiktu vairākas darbības inficētajā ierīcē.
Tās iespējas ietver PowerShell skriptu rakstīšanu un izpildi, failu lejupielādi un palaišanu no attālām vietām, ekrānuzņēmumu tveršanu, ekrāna darbību ierakstīšanu reāllaikā, failu izveidi darbvirsmā un pat sevis izņemšanu no sistēmas. Šīs funkcijas var izraisīt tādas sekas kā identitātes zādzība, finanšu krāpšana, turpmākas infekcijas un ilgstoša sistēmas kompromitēšana.
Infekcijas ķēde un izvietošana
SwaetRAT parasti tiek piegādāts, izmantojot pikšķerēšanas e-pastus, kas novirza upurus uz krāpniecisku vietni, kurā tiek mitināts apdraudēts ScreenConnect klients. Kad tas tiek izpildīts, klients savieno inficēto mašīnu ar uzbrucēja kontrolētu serveri.
Pēc tam sistēmā tiek nomests VBS skripts, kas izgūst papildu nedrošu kodu no interneta. Šis kods tiek atšifrēts un izpildīts, kā rezultātā tiek izvietots Ande Loader, kas nodrošina SwaetRAT kā pēdējo lietderīgo slodzi.
Ar savu plašo kontroli pār inficētajām sistēmām SwaetRAT rada ievērojamu risku upuriem, veicinot datu zādzību, nesankcionētu uzraudzību un kompromitētu ierīču turpmāku izmantošanu.
