SwaetRAT Kötü Amaçlı Yazılım
SwaetRAT, .NET framework kullanılarak 32 bitlik bir uygulama olarak oluşturulmuş bir Uzaktan Erişim Truva Atı'dır (RAT). Bu tür tehdit, saldırganların tehlikeye atılmış bir sistem üzerinde yetkisiz kontrol elde etmelerini sağlayarak kullanıcı etkinliğini izlemelerine, hassas bilgileri çıkarmalarına ve uzaktan komutlar yürütmelerine olanak tanır.
İçindekiler
Tuş Kaydı ve Veri Hırsızlığı
SwaetRAT'ın birincil işlevlerinden biri, kurbanın yaptığı her tuş vuruşunu yakalayan tuş kaydıdır. Bu yetenek, oturum açma kimlik bilgilerini, finansal bilgileri, kişisel mesajları ve diğer gizli verileri kaydetmesini sağlar. Ek olarak, RAT, yaygın olarak kullanılan iki finansal platform olan 'Paypal' ve 'Binance' gibi anahtar sözcükler için 'Log.tmp' dosyasını tarar. Herhangi bir eşleşme bulunursa, bilgiler saldırganın Komuta ve Kontrol (C2) sunucusuna iletilir ve siber suçlulara kurbanın finansal faaliyetleri hakkında bilgi verir.
Sistem Profilleme ve Komut Yürütme
SwaetRAT, benzersiz sistem kimliği, kullanıcı adı, işletim sistemi bilgileri, yüklü güvenlik yazılımı ve kullanıcının yönetici ayrıcalıklarına sahip olup olmadığı gibi çeşitli sistem ayrıntılarını toplar. Bilgi toplamanın ötesinde, RAT, enfekte bir cihazda birden fazla eylem gerçekleştirmek için bir dizi komutu destekler.
Yetenekleri arasında PowerShell betikleri yazmak ve yürütmek, uzak konumlardan dosya indirmek ve başlatmak, ekran görüntüleri yakalamak, ekran etkinliğini gerçek zamanlı olarak kaydetmek, masaüstünde dosyalar oluşturmak ve hatta kendisini sistemden kaldırmak yer alır. Bu işlevler kimlik hırsızlığı, mali dolandırıcılık, daha fazla enfeksiyon ve uzun süreli sistem ihlali gibi sonuçlara yol açabilir.
Enfeksiyon Zinciri ve Dağıtım
SwaetRAT genellikle kurbanları tehlikeye atılmış bir ScreenConnect istemcisini barındıran sahte bir web sitesine yönlendiren kimlik avı e-postaları aracılığıyla iletilir. Çalıştırıldığında, istemci enfekte olmuş makineyi saldırgan tarafından kontrol edilen bir sunucuya bağlar.
Bunun ardından, sisteme bir VBS betiği bırakılır ve bu da İnternet'ten ek güvenli olmayan kod alır. Bu kod çözülür ve yürütülür, en sonunda Ande Loader'ın dağıtımına yol açar ve bu da SwaetRAT'ı son yük olarak sunar.
SwaetRAT, enfekte sistemler üzerinde kapsamlı bir kontrole sahip olması nedeniyle, kurbanlar için önemli bir risk oluşturuyor; veri hırsızlığını, yetkisiz gözetimi ve tehlikeye atılmış cihazların daha fazla istismar edilmesini kolaylaştırıyor.
