Malware SwaetRAT
SwaetRAT este un troian de acces la distanță (RAT) construit ca o aplicație pe 32 de biți folosind framework-ul .NET. Acest tip de amenințare le permite atacatorilor să obțină control neautorizat asupra unui sistem compromis, permițându-le să monitorizeze activitatea utilizatorului, să extragă informații sensibile și să execute comenzi de la distanță.
Cuprins
Înregistrare taste și furt de date
Una dintre funcțiile principale ale SwaetRAT este înregistrarea tastelor, care captează fiecare apăsare de tastă făcută de victimă. Această capacitate îi permite să înregistreze acreditările de conectare, detaliile financiare, mesajele personale și alte date confidențiale. În plus, RAT scanează fișierul „Log.tmp” pentru cuvinte cheie precum „Paypal” și „Binance”, două platforme financiare utilizate pe scară largă. Dacă se găsesc potriviri, informațiile sunt transmise serverului de comandă și control (C2) al atacatorului, oferind infractorilor cibernetici o perspectivă asupra activității financiare a victimei.
Profilarea sistemului și execuția comenzilor
SwaetRAT adună diverse detalii de sistem, inclusiv ID-ul unic al sistemului, numele de utilizator, informații despre sistemul de operare, software-ul de securitate instalat și dacă utilizatorul are privilegii administrative. Dincolo de colectarea informațiilor, RAT acceptă o serie de comenzi pentru a efectua mai multe acțiuni pe un dispozitiv infectat.
Capacitățile sale includ scrierea și executarea de scripturi PowerShell, descărcarea și lansarea fișierelor din locații la distanță, capturarea de capturi de ecran, înregistrarea activității ecranului în timp real, crearea de fișiere pe desktop și chiar eliminarea din sistem. Aceste funcționalități pot duce la consecințe precum furtul de identitate, frauda financiară, infecții suplimentare și compromisul prelungit al sistemului.
Lanțul de infecție și implementare
SwaetRAT este livrat de obicei prin e-mailuri de phishing care redirecționează victimele către un site web fraudulos care găzduiește un client ScreenConnect compromis. Când este executat, clientul conectează mașina infectată la un server controlat de atacator.
După aceasta, un script VBS este aruncat în sistem, care preia cod suplimentar nesigur de pe Internet. Acest cod este decodat și executat, ducând în cele din urmă la implementarea Ande Loader, care oferă SwaetRAT ca sarcină utilă finală.
Cu controlul său extins asupra sistemelor infectate, SwaetRAT prezintă un risc considerabil pentru victime, facilitând furtul de date, supravegherea neautorizată și exploatarea în continuare a dispozitivelor compromise.
