SwaetRAT-malware
SwaetRAT is een Remote Access Trojan (RAT) die is gebouwd als een 32-bits applicatie met behulp van het .NET framework. Dit type bedreiging stelt aanvallers in staat om ongeautoriseerde controle te krijgen over een gecompromitteerd systeem, waardoor ze gebruikersactiviteit kunnen monitoren, gevoelige informatie kunnen extraheren en opdrachten op afstand kunnen uitvoeren.
Inhoudsopgave
Keylogging en gegevensdiefstal
Een van de belangrijkste functies van SwaetRAT is keylogging, dat elke toetsaanslag van het slachtoffer vastlegt. Deze mogelijkheid stelt het in staat om inloggegevens, financiële gegevens, persoonlijke berichten en andere vertrouwelijke gegevens vast te leggen. Daarnaast scant de RAT het 'Log.tmp'-bestand op trefwoorden zoals 'Paypal' en 'Binance', twee veelgebruikte financiële platforms. Als er overeenkomsten worden gevonden, wordt de informatie verzonden naar de Command-and-Control (C2)-server van de aanvaller, waardoor cybercriminelen inzicht krijgen in de financiële activiteiten van het slachtoffer.
Systeemprofilering en opdrachtuitvoering
SwaetRAT verzamelt verschillende systeemgegevens, waaronder de unieke systeem-ID, gebruikersnaam, informatie over het besturingssysteem, geïnstalleerde beveiligingssoftware en of de gebruiker beheerdersrechten heeft. Naast het verzamelen van informatie ondersteunt de RAT een reeks opdrachten om meerdere acties uit te voeren op een geïnfecteerd apparaat.
De mogelijkheden omvatten het schrijven en uitvoeren van PowerShell-scripts, het downloaden en starten van bestanden vanaf externe locaties, het vastleggen van screenshots, het opnemen van schermactiviteit in realtime, het maken van bestanden op het bureaublad en zelfs het verwijderen van zichzelf uit het systeem. Deze functionaliteiten kunnen leiden tot gevolgen zoals identiteitsdiefstal, financiële fraude, verdere infecties en langdurige systeemcompromissen.
Infectieketen en implementatie
SwaetRAT wordt doorgaans geleverd via phishing-e-mails die slachtoffers doorverwijzen naar een frauduleuze website die een gecompromitteerde ScreenConnect-client host. Wanneer uitgevoerd, verbindt de client de geïnfecteerde machine met een door de aanvaller gecontroleerde server.
Hierna wordt een VBS-script op het systeem gedropt, dat extra onveilige code van het internet ophaalt. Deze code wordt gedecodeerd en uitgevoerd, wat uiteindelijk leidt tot de implementatie van de Ande Loader, die SwaetRAT als de uiteindelijke payload levert.
Door de uitgebreide controle over geïnfecteerde systemen vormt SwaetRAT een aanzienlijk risico voor slachtoffers. Het kan leiden tot gegevensdiefstal, ongeautoriseerde bewaking en verdere exploitatie van gecompromitteerde apparaten.
