Oprogramowanie złośliwe SwaetRAT
SwaetRAT to trojan zdalnego dostępu (RAT) zbudowany jako aplikacja 32-bitowa przy użyciu .NET Framework. Ten typ zagrożenia umożliwia atakującym uzyskanie nieautoryzowanej kontroli nad naruszonym systemem, co pozwala im monitorować aktywność użytkowników, wyodrębniać poufne informacje i wykonywać polecenia zdalnie.
Spis treści
Keylogging i kradzież danych
Jedną z głównych funkcji SwaetRAT jest keylogger, który rejestruje każde naciśnięcie klawisza przez ofiarę. Ta funkcja umożliwia rejestrowanie danych logowania, danych finansowych, wiadomości osobistych i innych poufnych danych. Ponadto RAT skanuje plik „Log.tmp” w poszukiwaniu słów kluczowych, takich jak „Paypal” i „Binance”, dwóch powszechnie używanych platform finansowych. Jeśli zostaną znalezione jakiekolwiek dopasowania, informacje są przesyłane do serwera Command-and-Control (C2) atakującego, dając cyberprzestępcom wgląd w aktywność finansową ofiary.
Profilowanie systemu i wykonywanie poleceń
SwaetRAT zbiera różne szczegóły systemowe, w tym unikalny identyfikator systemu, nazwę użytkownika, informacje o systemie operacyjnym, zainstalowane oprogramowanie zabezpieczające i czy użytkownik ma uprawnienia administracyjne. Oprócz zbierania informacji RAT obsługuje szereg poleceń, aby wykonać wiele działań na zainfekowanym urządzeniu.
Jego możliwości obejmują pisanie i wykonywanie skryptów PowerShell, pobieranie i uruchamianie plików ze zdalnych lokalizacji, przechwytywanie zrzutów ekranu, rejestrowanie aktywności ekranu w czasie rzeczywistym, tworzenie plików na pulpicie, a nawet usuwanie się z systemu. Te funkcjonalności mogą prowadzić do takich konsekwencji, jak kradzież tożsamości, oszustwa finansowe, dalsze infekcje i długotrwałe naruszenie bezpieczeństwa systemu.
Łańcuch infekcji i wdrażanie
SwaetRAT jest zazwyczaj dostarczany za pośrednictwem wiadomości e-mail phishing, które przekierowują ofiary do oszukańczej witryny hostującej skompromitowanego klienta ScreenConnect. Po uruchomieniu klient łączy zainfekowaną maszynę z serwerem kontrolowanym przez atakującego.
Następnie skrypt VBS jest umieszczany w systemie, który pobiera dodatkowy niebezpieczny kod z Internetu. Ten kod jest dekodowany i wykonywany, co ostatecznie prowadzi do wdrożenia Ande Loader, który dostarcza SwaetRAT jako ostateczny ładunek.
Ze względu na rozległą kontrolę nad zainfekowanymi systemami, SwaetRAT stwarza poważne zagrożenie dla ofiar, umożliwiając kradzież danych, nieautoryzowany nadzór i dalsze wykorzystywanie zainfekowanych urządzeń.
