มัลแวร์ SwaetRAT
SwaetRAT คือ Remote Access Trojan (RAT) ที่สร้างขึ้นเป็นแอปพลิเคชัน 32 บิตโดยใช้กรอบงาน .NET ภัยคุกคามประเภทนี้ทำให้ผู้โจมตีสามารถควบคุมระบบที่ถูกบุกรุกโดยไม่ได้รับอนุญาต ทำให้สามารถตรวจสอบกิจกรรมของผู้ใช้ ดึงข้อมูลที่ละเอียดอ่อน และดำเนินการคำสั่งจากระยะไกลได้
สารบัญ
การบันทึกคีย์และการโจรกรรมข้อมูล
ฟังก์ชันหลักอย่างหนึ่งของ SwaetRAT คือการบันทึกการกดแป้นพิมพ์ ซึ่งจะบันทึกทุกการกดแป้นพิมพ์ของเหยื่อ ความสามารถนี้ช่วยให้บันทึกข้อมูลรับรองการเข้าสู่ระบบ รายละเอียดทางการเงิน ข้อความส่วนตัว และข้อมูลลับอื่นๆ นอกจากนี้ RAT ยังสแกนไฟล์ 'Log.tmp' เพื่อค้นหาคำสำคัญ เช่น 'Paypal' และ 'Binance' ซึ่งเป็นแพลตฟอร์มทางการเงินที่นิยมใช้กันอย่างกว้างขวาง หากพบคำที่ตรงกัน ข้อมูลดังกล่าวจะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้โจมตี ซึ่งจะทำให้ผู้ก่ออาชญากรรมทางไซเบอร์ทราบถึงกิจกรรมทางการเงินของเหยื่อได้
การจัดทำโปรไฟล์ระบบและการดำเนินการคำสั่ง
SwaetRAT รวบรวมรายละเอียดระบบต่างๆ รวมถึงรหัสระบบเฉพาะ ชื่อผู้ใช้ ข้อมูลระบบปฏิบัติการ ซอฟต์แวร์ความปลอดภัยที่ติดตั้ง และผู้ใช้มีสิทธิ์การดูแลระบบหรือไม่ นอกเหนือจากการรวบรวมข้อมูลแล้ว RAT ยังรองรับคำสั่งต่างๆ เพื่อดำเนินการต่างๆ บนอุปกรณ์ที่ติดไวรัสอีกด้วย
ความสามารถของโปรแกรมได้แก่ การเขียนและดำเนินการสคริปต์ PowerShell การดาวน์โหลดและเปิดไฟล์จากระยะไกล การจับภาพหน้าจอ การบันทึกกิจกรรมบนหน้าจอแบบเรียลไทม์ การสร้างไฟล์บนเดสก์ท็อป และแม้กระทั่งการลบตัวเองออกจากระบบ การทำงานเหล่านี้อาจนำไปสู่ผลที่ตามมา เช่น การโจรกรรมข้อมูลประจำตัว การฉ้อโกงทางการเงิน การติดไวรัสเพิ่มเติม และระบบถูกบุกรุกเป็นเวลานาน
ห่วงโซ่การติดเชื้อและการแพร่ระบาด
โดยทั่วไปแล้ว SwaetRAT จะถูกส่งผ่านอีเมลฟิชชิ่งที่เปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์หลอกลวงที่โฮสต์ไคลเอ็นต์ ScreenConnect ที่ถูกบุกรุก เมื่อดำเนินการแล้ว ไคลเอ็นต์จะเชื่อมต่อเครื่องที่ติดไวรัสเข้ากับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
หลังจากนั้น สคริปต์ VBS จะถูกวางลงในระบบ ซึ่งจะดึงรหัสที่ไม่ปลอดภัยเพิ่มเติมจากอินเทอร์เน็ต รหัสนี้จะถูกถอดรหัสและดำเนินการ ซึ่งสุดท้ายจะนำไปสู่การใช้งาน Ande Loader ซึ่งส่ง SwaetRAT เป็นเพย์โหลดสุดท้าย
ด้วยการควบคุมที่ครอบคลุมบนระบบที่ติดไวรัส SwaetRAT ก่อให้เกิดความเสี่ยงอย่างมากต่อเหยื่อ โดยทำให้เกิดการโจรกรรมข้อมูล การเฝ้าติดตามโดยไม่ได้รับอนุญาต และการแสวงหาประโยชน์จากอุปกรณ์ที่ถูกบุกรุกเพิ่มเติม
