SwaetRAT Malware
O SwaetRAT é um Trojan de Acesso Remoto (RAT) criado como um aplicativo de 32 bits usando o framework .NET. Esse tipo de ameaça permite que invasores obtenham controle não autorizado sobre um sistema comprometido, permitindo que monitorem a atividade do usuário, extraiam informações confidenciais e executem comandos remotamente.
Índice
Keylogging e Roubo de Dados
Uma das principais funções do SwaetRAT é o keylogging, que captura cada pressionamento de tecla feito pela vítima. Esse recurso permite que ele registre credenciais de login, detalhes financeiros, mensagens pessoais e outros dados confidenciais. Além disso, o RAT verifica o arquivo 'Log.tmp' em busca de palavras-chave como 'Paypal' e 'Binance', duas plataformas financeiras amplamente utilizadas. Se alguma correspondência for encontrada, a informação é transmitida ao servidor Command-and-Control (C2) do invasor, dando aos cibercriminosos uma visão da atividade financeira da vítima.
Criação de um Perfil do Sistema e Execução de Comando
O SwaetRAT reúne vários detalhes do sistema, incluindo o ID exclusivo do sistema, nome de usuário, informações do sistema operacional, software de segurança instalado e se o usuário tem privilégios administrativos. Além da coleta de informações, o RAT suporta uma variedade de comandos para executar várias ações em um dispositivo infectado.
Seus recursos incluem escrever e executar scripts do PowerShell, baixar e iniciar arquivos de locais remotos, capturar capturas de tela, gravar atividade de tela em tempo real, criar arquivos na área de trabalho e até mesmo remover-se do sistema. Essas funcionalidades podem levar a consequências como roubo de identidade, fraude financeira, mais infecções e comprometimento prolongado do sistema.
Cadeia de Infecção e Implantação
O SwaetRAT é normalmente entregue por meio de e-mails de phishing que redirecionam as vítimas para um site fraudulento que hospeda um cliente ScreenConnect comprometido. Quando executado, o cliente conecta a máquina infectada a um servidor controlado pelo invasor.
Após isso, um script VBS é solto no sistema, que recupera código inseguro adicional da Internet. Esse código é decodificado e executado, levando finalmente à implantação do Ande Loader, que entrega SwaetRAT como a carga útil final.
Com seu amplo controle sobre sistemas infectados, o SwaetRAT representa um risco considerável para as vítimas, facilitando o roubo de dados, a vigilância não autorizada e a exploração adicional de dispositivos comprometidos.
