Шкідливе програмне забезпечення SwaetRAT
SwaetRAT — це троян віддаленого доступу (RAT), створений як 32-розрядна програма з використанням .NET framework. Цей тип загрози дозволяє зловмисникам отримати неавторизований контроль над скомпрометованою системою, дозволяючи їм відстежувати дії користувачів, отримувати конфіденційну інформацію та виконувати команди віддалено.
Зміст
Keylogging і крадіжка даних
Однією з основних функцій SwaetRAT є клавіатурний журнал, який фіксує кожне натискання клавіш жертвою. Ця можливість дозволяє записувати облікові дані для входу, фінансові дані, особисті повідомлення та інші конфіденційні дані. Крім того, RAT сканує файл «Log.tmp» на наявність ключових слів, таких як «Paypal» і «Binance», дві широко використовувані фінансові платформи. У разі виявлення збігів інформація передається на сервер зловмисника Command-and-Control (C2), надаючи кіберзлочинцям уявлення про фінансову діяльність жертви.
Профілювання системи та виконання команд
SwaetRAT збирає різні відомості про систему, включаючи унікальний ідентифікатор системи, ім’я користувача, інформацію про операційну систему, встановлене програмне забезпечення безпеки та наявність у користувача прав адміністратора. Окрім збору інформації, RAT підтримує низку команд для виконання кількох дій на зараженому пристрої.
Його можливості включають написання та виконання сценаріїв PowerShell, завантаження та запуск файлів із віддалених місць, захоплення скріншотів, запис активності екрана в режимі реального часу, створення файлів на робочому столі та навіть видалення із системи. Ці функції можуть призвести до таких наслідків, як крадіжка особистих даних, фінансове шахрайство, подальше зараження та тривалий злом системи.
Ланцюг зараження та розгортання
SwaetRAT зазвичай доставляється через фішингові електронні листи, які перенаправляють жертв на шахрайський веб-сайт, на якому розміщено скомпрометований клієнт ScreenConnect. Під час виконання клієнт підключає інфіковану машину до сервера, контрольованого зловмисником.
Після цього в систему скидається сценарій VBS, який отримує додатковий небезпечний код з Інтернету. Цей код декодується та виконується, що зрештою призводить до розгортання Ande Loader, який доставляє SwaetRAT як остаточне корисне навантаження.
Завдяки широкому контролю над зараженими системами SwaetRAT створює значний ризик для жертв, сприяючи крадіжці даних, несанкціонованому стеження та подальшому використанню скомпрометованих пристроїв.
