SwaetRAT Malware
SwaetRAT është një trojan me qasje në distancë (RAT) i ndërtuar si një aplikacion 32-bit duke përdorur kornizën .NET. Ky lloj kërcënimi u mundëson sulmuesve të fitojnë kontroll të paautorizuar mbi një sistem të komprometuar, duke i lejuar ata të monitorojnë aktivitetin e përdoruesit, të nxjerrin informacione të ndjeshme dhe të ekzekutojnë komanda nga distanca.
Tabela e Përmbajtjes
Regjistrimi i çelësave dhe vjedhja e të dhënave
Një nga funksionet kryesore të SwaetRAT është regjistrimi i tasteve, i cili kap çdo goditje të tasteve të bëra nga viktima. Kjo aftësi e lejon atë të regjistrojë kredencialet e hyrjes, detajet financiare, mesazhet personale dhe të dhëna të tjera konfidenciale. Për më tepër, RAT skanon skedarin 'Log.tmp' për fjalë kyçe si 'Paypal' dhe 'Binance', dy platforma financiare të përdorura gjerësisht. Nëse gjenden ndonjë përputhje, informacioni transmetohet në serverin Command-and-Control (C2) të sulmuesit, duke u dhënë kriminelëve kibernetikë informacion mbi aktivitetin financiar të viktimës.
Profilizimi i sistemit dhe ekzekutimi i komandave
SwaetRAT mbledh detaje të ndryshme të sistemit, duke përfshirë ID-në unike të sistemit, emrin e përdoruesit, informacionin e sistemit operativ, softuerin e instaluar të sigurisë dhe nëse përdoruesi ka privilegje administrative. Përtej mbledhjes së informacionit, RAT mbështet një sërë komandash për të kryer veprime të shumta në një pajisje të infektuar.
Aftësitë e tij përfshijnë shkrimin dhe ekzekutimin e skripteve PowerShell, shkarkimin dhe lëshimin e skedarëve nga vende të largëta, kapjen e pamjeve të ekranit, regjistrimin e aktivitetit të ekranit në kohë reale, krijimin e skedarëve në desktop dhe madje edhe heqjen e vetvetes nga sistemi. Këto funksione mund të çojnë në pasoja të tilla si vjedhje identiteti, mashtrim financiar, infeksione të mëtejshme dhe kompromis të zgjatur të sistemit.
Zinxhiri dhe shpërndarja e infeksionit
SwaetRAT zakonisht shpërndahet përmes emaileve phishing që ridrejtojnë viktimat në një faqe interneti mashtruese që pret një klient të komprometuar ScreenConnect. Kur ekzekutohet, klienti lidh makinën e infektuar me një server të kontrolluar nga sulmuesi.
Pas kësaj, një skrip VBS hidhet në sistem, i cili merr kod shtesë të pasigurt nga Interneti. Ky kod deshifrohet dhe ekzekutohet, duke çuar përfundimisht në vendosjen e ngarkuesit Ande, i cili jep SwaetRAT si ngarkesën përfundimtare.
Me kontrollin e tij të gjerë mbi sistemet e infektuara, SwaetRAT paraqet një rrezik të konsiderueshëm për viktimat, duke lehtësuar vjedhjen e të dhënave, mbikëqyrjen e paautorizuar dhe shfrytëzimin e mëtejshëm të pajisjeve të komprometuara.
