Logiciel malveillant SwaetRAT
SwaetRAT est un cheval de Troie d'accès à distance (RAT) conçu comme une application 32 bits utilisant le framework .NET. Ce type de menace permet aux attaquants d'obtenir un contrôle non autorisé sur un système compromis, leur permettant de surveiller l'activité des utilisateurs, d'extraire des informations sensibles et d'exécuter des commandes à distance.
Table des matières
Enregistrement de frappe et vol de données
L'une des principales fonctions de SwaetRAT est l'enregistrement des frappes au clavier, qui capture chaque frappe effectuée par la victime. Cette capacité lui permet d'enregistrer les identifiants de connexion, les informations financières, les messages personnels et d'autres données confidentielles. De plus, le RAT analyse le fichier « Log.tmp » à la recherche de mots-clés tels que « Paypal » et « Binance », deux plateformes financières largement utilisées. Si des correspondances sont trouvées, les informations sont transmises au serveur de commande et de contrôle (C2) de l'attaquant, ce qui donne aux cybercriminels un aperçu de l'activité financière de la victime.
Profilage du système et exécution des commandes
SwaetRAT collecte divers détails du système, notamment l'ID système unique, le nom d'utilisateur, les informations sur le système d'exploitation, les logiciels de sécurité installés et si l'utilisateur dispose de privilèges administratifs. Au-delà de la collecte d'informations, le RAT prend en charge une gamme de commandes permettant d'effectuer plusieurs actions sur un périphérique infecté.
Ses capacités incluent l'écriture et l'exécution de scripts PowerShell, le téléchargement et le lancement de fichiers à partir d'emplacements distants, la capture de captures d'écran, l'enregistrement de l'activité de l'écran en temps réel, la création de fichiers sur le bureau et même la suppression du système. Ces fonctionnalités peuvent entraîner des conséquences telles que le vol d'identité, la fraude financière, d'autres infections et une compromission prolongée du système.
Chaîne d'infection et déploiement
SwaetRAT est généralement diffusé via des e-mails de phishing qui redirigent les victimes vers un site Web frauduleux hébergeant un client ScreenConnect compromis. Une fois exécuté, le client connecte la machine infectée à un serveur contrôlé par l'attaquant.
Ensuite, un script VBS est déposé sur le système, qui récupère du code non sécurisé supplémentaire sur Internet. Ce code est décodé et exécuté, ce qui conduit finalement au déploiement du chargeur Ande, qui fournit SwaetRAT comme charge utile finale.
Avec son contrôle étendu sur les systèmes infectés, SwaetRAT présente un risque considérable pour les victimes, facilitant le vol de données, la surveillance non autorisée et l'exploitation ultérieure des appareils compromis.
