SwaetRAT マルウェア

SwaetRAT は、.NET フレームワークを使用して 32 ビット アプリケーションとして構築されたリモート アクセス トロイの木馬 (RAT) です。このタイプの脅威により、攻撃者は侵害されたシステムを不正に制御できるようになり、ユーザーのアクティビティを監視したり、機密情報を抽出したり、リモートでコマンドを実行したりできるようになります。

キーロギングとデータ盗難

SwaetRAT の主な機能の 1 つはキーロギングで、被害者が入力したすべてのキー操作をキャプチャします。この機能により、ログイン認証情報、財務情報、個人メッセージ、その他の機密データを記録できます。さらに、RAT は「Log.tmp」ファイルをスキャンして、「Paypal」や「Binance」といった広く使用されている 2 つの金融プラットフォームなどのキーワードを探します。一致するものが見つかった場合、その情報は攻撃者のコマンド アンド コントロール (C2) サーバーに送信され、サイバー犯罪者に被害者の財務活動に関する洞察を与えます。

システムプロファイリングとコマンド実行

SwaetRAT は、固有のシステム ID、ユーザー名、オペレーティング システム情報、インストールされているセキュリティ ソフトウェア、ユーザーが管理者権限を持っているかどうかなど、さまざまなシステム詳細を収集します。情報収集以外にも、RAT は感染したデバイスで複数のアクションを実行するためのさまざまなコマンドをサポートしています。

その機能には、PowerShell スクリプトの作成と実行、リモート ロケーションからのファイルのダウンロードと起動、スクリーンショットのキャプチャ、画面アクティビティのリアルタイム記録、デスクトップへのファイルの作成、さらにはシステムからの削除などが含まれます。これらの機能は、個人情報の盗難、金融詐欺、さらなる感染、システムの長期的な侵害などの結果につながる可能性があります。

感染チェーンと展開

SwaetRAT は通常、フィッシング メールを通じて配信され、被害者を、侵害された ScreenConnect クライアントをホストする不正な Web サイトにリダイレクトします。実行されると、クライアントは感染したマシンを攻撃者が制御するサーバーに接続します。

これに続いて、VBS スクリプトがシステムにドロップされ、インターネットから追加の危険なコードを取得します。このコードはデコードされて実行され、最終的にAnde Loader が展開され、最終ペイロードとして SwaetRAT が配信されます。

SwaetRAT は感染したシステムを広範囲に制御するため、被害者に多大なリスクをもたらし、データの盗難、不正な監視、侵害されたデバイスのさらなる悪用を容易にします。