Вредоносное ПО SwaetRAT
SwaetRAT — это троян удаленного доступа (RAT), созданный как 32-битное приложение с использованием .NET Framework. Этот тип угрозы позволяет злоумышленникам получить несанкционированный контроль над скомпрометированной системой, что позволяет им отслеживать активность пользователя, извлекать конфиденциальную информацию и выполнять команды удаленно.
Оглавление
Кейлоггерство и кража данных
Одной из основных функций SwaetRAT является кейлоггер, который фиксирует каждое нажатие клавиши жертвой. Эта возможность позволяет ему записывать учетные данные для входа, финансовые данные, личные сообщения и другие конфиденциальные данные. Кроме того, RAT сканирует файл «Log.tmp» на наличие таких ключевых слов, как «Paypal» и «Binance» — две широко используемые финансовые платформы. Если какие-либо совпадения найдены, информация передается на сервер Command-and-Control (C2) злоумышленника, предоставляя киберпреступникам информацию о финансовой активности жертвы.
Профилирование системы и выполнение команд
SwaetRAT собирает различные системные данные, включая уникальный идентификатор системы, имя пользователя, информацию об операционной системе, установленное программное обеспечение безопасности и наличие у пользователя административных привилегий. Помимо сбора информации, RAT поддерживает ряд команд для выполнения нескольких действий на зараженном устройстве.
Его возможности включают написание и выполнение скриптов PowerShell, загрузку и запуск файлов из удаленных мест, захват скриншотов, запись активности экрана в реальном времени, создание файлов на рабочем столе и даже удаление себя из системы. Эти функции могут привести к таким последствиям, как кража личных данных, финансовое мошенничество, дальнейшее заражение и длительный взлом системы.
Цепочка заражения и развертывание
SwaetRAT обычно доставляется через фишинговые письма, которые перенаправляют жертв на мошеннический веб-сайт, на котором размещен скомпрометированный клиент ScreenConnect. При запуске клиент подключает зараженную машину к серверу, контролируемому злоумышленником.
После этого в систему запускается скрипт VBS, который извлекает из Интернета дополнительный небезопасный код. Этот код декодируется и выполняется, что в конечном итоге приводит к развертыванию Ande Loader, который доставляет SwaetRAT в качестве конечной полезной нагрузки.
Обладая широким контролем над зараженными системами, SwaetRAT представляет значительную опасность для жертв, способствуя краже данных, несанкционированному наблюдению и дальнейшей эксплуатации скомпрометированных устройств.
