SwaetRAT-Malware
SwaetRAT ist ein Remote Access Trojan (RAT), der als 32-Bit-Anwendung unter Verwendung des .NET-Frameworks erstellt wurde. Mit dieser Art von Bedrohung können Angreifer unbefugte Kontrolle über ein kompromittiertes System erlangen, Benutzeraktivitäten überwachen, vertrauliche Informationen extrahieren und Befehle aus der Ferne ausführen.
Inhaltsverzeichnis
Keylogging und Datendiebstahl
Eine der Hauptfunktionen von SwaetRAT ist das Keylogging, das jeden Tastenanschlag des Opfers aufzeichnet. Mit dieser Funktion kann es Anmeldeinformationen, Finanzdaten, persönliche Nachrichten und andere vertrauliche Daten aufzeichnen. Darüber hinaus durchsucht das RAT die Datei „Log.tmp“ nach Schlüsselwörtern wie „Paypal“ und „Binance“, zwei weit verbreiteten Finanzplattformen. Wenn Übereinstimmungen gefunden werden, werden die Informationen an den Command-and-Control-Server (C2) des Angreifers übermittelt, wodurch Cyberkriminelle Einblick in die Finanzaktivitäten des Opfers erhalten.
Systemprofilierung und Befehlsausführung
SwaetRAT sammelt verschiedene Systemdetails, darunter die eindeutige System-ID, den Benutzernamen, Betriebssysteminformationen, installierte Sicherheitssoftware und ob der Benutzer über Administratorrechte verfügt. Über die Informationssammlung hinaus unterstützt das RAT eine Reihe von Befehlen, um mehrere Aktionen auf einem infizierten Gerät auszuführen.
Zu seinen Funktionen gehören das Schreiben und Ausführen von PowerShell-Skripten, das Herunterladen und Starten von Dateien von Remotestandorten, das Aufnehmen von Screenshots, das Aufzeichnen von Bildschirmaktivitäten in Echtzeit, das Erstellen von Dateien auf dem Desktop und sogar das Entfernen aus dem System. Diese Funktionen können zu Konsequenzen wie Identitätsdiebstahl, Finanzbetrug, weiteren Infektionen und einer längeren Systemgefährdung führen.
Infektionskette und Verbreitung
SwaetRAT wird normalerweise über Phishing-E-Mails verbreitet, die die Opfer auf eine betrügerische Website umleiten, auf der ein kompromittierter ScreenConnect-Client gehostet wird. Bei der Ausführung verbindet der Client die infizierte Maschine mit einem vom Angreifer kontrollierten Server.
Anschließend wird ein VBS-Skript auf das System geladen, das weiteren unsicheren Code aus dem Internet abruft. Dieser Code wird dekodiert und ausgeführt, was letztendlich zur Bereitstellung des Ande Loader führt, der SwaetRAT als endgültige Nutzlast liefert.
Aufgrund seiner umfassenden Kontrolle über infizierte Systeme stellt SwaetRAT ein erhebliches Risiko für die Opfer dar und erleichtert Datendiebstahl, unbefugte Überwachung und die weitere Ausnutzung kompromittierter Geräte.
