SwaetRAT 惡意軟體
SwaetRAT 是一種使用 .NET 框架建構為 32 位元應用程式的遠端存取木馬 (RAT)。這種類型的威脅使攻擊者能夠獲得對受感染系統的未經授權的控制,使他們能夠監視使用者活動、提取敏感資訊並遠端執行命令。
目錄
鍵盤記錄和資料竊取
SwaetRAT 的主要功能之一是鍵盤記錄,它會捕捉受害者所做的每一次擊鍵。此功能使其能夠記錄登入憑證、財務詳細資料、個人訊息和其他機密資料。此外,RAT 也會掃描「Log.tmp」檔案中的關鍵字,例如「Paypal」和「Binance」(兩個廣泛使用的金融平台)。如果找到任何匹配項,資訊就會傳輸到攻擊者的命令與控制 (C2) 伺服器,使網路犯罪分子能夠深入了解受害者的財務活動。
系統分析和命令執行
SwaetRAT 收集各種系統詳細信息,包括唯一的系統 ID、使用者名稱、作業系統資訊、安裝的安全軟體以及使用者是否具有管理權限。除了資訊收集之外,RAT 還支援一系列命令來在受感染的設備上執行多種操作。
其功能包括編寫和執行 PowerShell 腳本、從遠端位置下載和啟動文件、捕獲螢幕截圖、即時記錄螢幕活動、在桌面上建立文件,甚至從系統中刪除自身。這些功能可能會導致身分盜竊、財務詐欺、進一步感染和長期系統受損等後果。
感染鍊和部署
SwaetRAT 通常透過網路釣魚電子郵件傳播,將受害者重新導向至託管受感染 ScreenConnect 用戶端的詐騙網站。執行時,客戶端將受感染的電腦連接到攻擊者控制的伺服器。
隨後,VBS 腳本被投放到系統中,該腳本從互聯網上檢索其他不安全程式碼。該程式碼被解碼並執行,最終導致Ande Loader 的部署,它提供 SwaetRAT 作為最終的有效負載。
透過對受感染系統的廣泛控制,SwaetRAT 為受害者帶來了相當大的風險,助長了資料竊取、未經授權的監視以及對受感染設備的進一步利用。
