SwaetRAT Malware
Ang SwaetRAT ay isang Remote Access Trojan (RAT) na binuo bilang isang 32-bit na application gamit ang .NET framework. Ang ganitong uri ng pagbabanta ay nagbibigay-daan sa mga umaatake na makakuha ng hindi awtorisadong kontrol sa isang nakompromisong system, na nagbibigay-daan sa kanila na subaybayan ang aktibidad ng user, kumuha ng sensitibong impormasyon, at magsagawa ng mga command nang malayuan.
Talaan ng mga Nilalaman
Keylogging at Pagnanakaw ng Data
Isa sa mga pangunahing function ng SwaetRAT ay keylogging, na kumukuha ng bawat keystroke na ginawa ng biktima. Ang kakayahang ito ay nagbibigay-daan dito na magtala ng mga kredensyal sa pag-log in, mga detalye sa pananalapi, mga personal na mensahe at iba pang kumpidensyal na data. Bukod pa rito, ini-scan ng RAT ang 'Log.tmp' na file para sa mga keyword gaya ng 'Paypal' at 'Binance,' dalawang malawakang ginagamit na financial platform. Kung may makikitang mga tugma, ang impormasyon ay ipinapadala sa Command-and-Control (C2) server ng attacker, na nagbibigay sa mga cybercriminal ng insight sa pinansyal na aktibidad ng biktima.
System Profiling at Command Execution
Kinokolekta ng SwaetRAT ang iba't ibang mga detalye ng system, kabilang ang natatanging system ID, username, impormasyon ng operating system, naka-install na software ng seguridad at kung ang gumagamit ay may mga pribilehiyong pang-administratibo. Higit pa sa pangongolekta ng impormasyon, sinusuportahan ng RAT ang isang hanay ng mga utos para magsagawa ng maraming pagkilos sa isang nahawaang device.
Kasama sa mga kakayahan nito ang pagsulat at pagpapatupad ng mga script ng PowerShell, pag-download at paglulunsad ng mga file mula sa malalayong lokasyon, pagkuha ng mga screenshot, pag-record ng aktibidad sa screen nang real-time, paggawa ng mga file sa desktop, at pag-alis ng sarili nito mula sa system. Ang mga functionality na ito ay maaaring humantong sa mga kahihinatnan gaya ng pagnanakaw ng pagkakakilanlan, pandaraya sa pananalapi, karagdagang impeksyon, at matagal na kompromiso sa system.
Chain at Deployment ng Impeksiyon
Ang SwaetRAT ay karaniwang inihahatid sa pamamagitan ng mga email sa phishing na nagre-redirect ng mga biktima sa isang mapanlinlang na website na nagho-host ng isang nakompromisong kliyente ng ScreenConnect. Kapag naisakatuparan, ikinokonekta ng kliyente ang nahawaang makina sa isang server na kontrolado ng attacker.
Kasunod nito, ang isang VBS script ay ibinaba sa system, na kumukuha ng karagdagang hindi ligtas na code mula sa Internet. Ang code na ito ay na-decode at naisakatuparan, sa huli ay humahantong sa pag-deploy ng Ande Loader, na naghahatid ng SwaetRAT bilang huling payload.
Sa malawak na kontrol nito sa mga infected na system, ang SwaetRAT ay nagdudulot ng malaking panganib sa mga biktima, pinapadali ang pagnanakaw ng data, hindi awtorisadong pagsubaybay, at karagdagang pagsasamantala sa mga nakompromisong device.
