Phần mềm độc hại SwaetRAT
SwaetRAT là Trojan truy cập từ xa (RAT) được xây dựng dưới dạng ứng dụng 32 bit sử dụng nền tảng .NET. Loại mối đe dọa này cho phép kẻ tấn công giành quyền kiểm soát trái phép đối với hệ thống bị xâm phạm, cho phép chúng theo dõi hoạt động của người dùng, trích xuất thông tin nhạy cảm và thực hiện lệnh từ xa.
Mục lục
Keylogging và Trộm cắp dữ liệu
Một trong những chức năng chính của SwaetRAT là keylogging, ghi lại mọi lần nhấn phím của nạn nhân. Khả năng này cho phép nó ghi lại thông tin đăng nhập, thông tin tài chính, tin nhắn cá nhân và dữ liệu bí mật khác. Ngoài ra, RAT còn quét tệp 'Log.tmp' để tìm các từ khóa như 'Paypal' và 'Binance', hai nền tảng tài chính được sử dụng rộng rãi. Nếu tìm thấy bất kỳ kết quả trùng khớp nào, thông tin sẽ được truyền đến máy chủ Command-and-Control (C2) của kẻ tấn công, giúp tội phạm mạng hiểu rõ hơn về hoạt động tài chính của nạn nhân.
Hồ sơ hệ thống và thực thi lệnh
SwaetRAT thu thập nhiều chi tiết hệ thống khác nhau, bao gồm ID hệ thống duy nhất, tên người dùng, thông tin hệ điều hành, phần mềm bảo mật đã cài đặt và liệu người dùng có quyền quản trị hay không. Ngoài việc thu thập thông tin, RAT hỗ trợ một loạt các lệnh để thực hiện nhiều hành động trên thiết bị bị nhiễm.
Khả năng của nó bao gồm viết và thực thi các tập lệnh PowerShell, tải xuống và khởi chạy các tệp từ các vị trí từ xa, chụp ảnh màn hình, ghi lại hoạt động trên màn hình theo thời gian thực, tạo tệp trên máy tính để bàn và thậm chí xóa chính nó khỏi hệ thống. Các chức năng này có thể dẫn đến hậu quả như trộm cắp danh tính, gian lận tài chính, nhiễm trùng thêm và xâm phạm hệ thống kéo dài.
Chuỗi lây nhiễm và triển khai
SwaetRAT thường được phân phối qua email lừa đảo chuyển hướng nạn nhân đến một trang web lừa đảo lưu trữ máy khách ScreenConnect bị xâm phạm. Khi được thực thi, máy khách sẽ kết nối máy bị nhiễm với máy chủ do kẻ tấn công kiểm soát.
Sau đó, một tập lệnh VBS được thả vào hệ thống, tập lệnh này sẽ lấy thêm mã không an toàn từ Internet. Mã này được giải mã và thực thi, cuối cùng dẫn đến việc triển khai Ande Loader, cung cấp SwaetRAT làm tải trọng cuối cùng.
Với khả năng kiểm soát rộng rãi các hệ thống bị nhiễm, SwaetRAT gây ra rủi ro đáng kể cho nạn nhân, tạo điều kiện cho việc đánh cắp dữ liệu, giám sát trái phép và khai thác sâu hơn các thiết bị bị xâm phạm.
