SwaetRAT 恶意软件
SwaetRAT 是一种使用 .NET 框架构建的 32 位远程访问木马 (RAT)。此类威胁使攻击者能够未经授权控制受感染的系统,从而监视用户活动、提取敏感信息并远程执行命令。
目录
键盘记录和数据窃取
SwaetRAT 的主要功能之一是键盘记录,它可以记录受害者的每一次击键。此功能允许它记录登录凭据、财务详细信息、个人信息和其他机密数据。此外,RAT 还会扫描“Log.tmp”文件中的关键字,例如“Paypal”和“Binance”,这两个广泛使用的金融平台。如果发现任何匹配项,信息就会传输到攻击者的命令和控制 (C2) 服务器,让网络犯罪分子了解受害者的财务活动。
系统分析和命令执行
SwaetRAT 收集各种系统详细信息,包括唯一系统 ID、用户名、操作系统信息、已安装的安全软件以及用户是否具有管理权限。除了信息收集之外,RAT 还支持一系列命令,以在受感染的设备上执行多项操作。
其功能包括编写和执行 PowerShell 脚本、从远程位置下载和启动文件、捕获屏幕截图、实时记录屏幕活动、在桌面上创建文件,甚至将自身从系统中删除。这些功能可能导致身份盗窃、金融欺诈、进一步感染和长期系统入侵等后果。
感染链和部署
SwaetRAT 通常通过钓鱼电子邮件传播,这些电子邮件会将受害者重定向到托管受感染 ScreenConnect 客户端的欺诈网站。执行后,客户端会将受感染的计算机连接到攻击者控制的服务器。
随后,VBS 脚本被植入到系统中,并从互联网上检索更多不安全代码。该代码被解码并执行,最终导致部署Ande Loader,该加载器将 SwaetRAT 作为最终负载进行传播。
SwaetRAT 对受感染系统具有广泛的控制权,因此对受害者构成了相当大的风险,有助于数据盗窃、未经授权的监视以及对受感染设备的进一步利用。
