Malware SwaetRAT: una mirada más profunda a sus capacidades y objetivos
Table of Contents
Una amenaza engañosa con capacidades de acceso remoto
SwaetRAT es un sofisticado troyano de acceso remoto (RAT) que utiliza técnicas avanzadas de evasión para evitar ser detectado y, al mismo tiempo, mantener su persistencia en los sistemas afectados. Este malware basado en .Net es capaz de ejecutar comandos de forma remota, lo que permite a los atacantes manipular los dispositivos infectados con diversos fines maliciosos. Al aprovechar las bibliotecas nativas de Windows y los mecanismos de reflexión, interactúa con el sistema operativo a un nivel bajo, lo que le permite ejecutar cargas útiles y controlar los procesos del sistema sin levantar sospechas inmediatas.
Cómo SwaetRAT se afianza en los sistemas
Para establecerse dentro de un sistema, el malware aprovecha las interacciones a nivel de API. Emplea técnicas de parcheo en vivo para eludir las defensas de seguridad, modificando funciones que normalmente detectan o registran actividad sospechosa. Una de esas modificaciones implica parchear AmsiScanBuffer(), que evita que el software de seguridad analice scripts maliciosos. Además, el malware altera EtwEventWrite(), una función responsable de generar registros de eventos, lo que garantiza que sus actividades permanezcan sin ser detectadas por los mecanismos de registro.
SwaetRAT consolida aún más su posición al manipular la biblioteca ntdll.dll, modificando funciones clave para que devuelvan valores predeterminados. Este enfoque varía según la arquitectura del sistema, ya sea de 32 bits o de 64 bits, lo que demuestra su adaptabilidad. Una vez que se realizan estas modificaciones, el malware procede a decodificar y ejecutar una carga útil codificada en Base64 que, en última instancia, carga un ensamblaje para operaciones posteriores.
Una mirada más cercana a su carga útil y ejecución
La carga útil decodificada está estructurada como un archivo ejecutable portátil (PE), un formato estándar para ejecutables de Windows y bibliotecas de vínculos dinámicos (DLL). Al crear una instancia de su clase de punto de entrada e invocar sus métodos, SwaetRAT garantiza que sus funcionalidades maliciosas se ejecuten correctamente. Una de sus principales tácticas de evasión incluye copiarse a sí mismo en la ruta %LOCALAPPDATA%\Microsoft\_OneDrive.exe. Este comportamiento está diseñado para eludir los entornos de espacio aislado que a menudo analizan archivos de directorios fijos.
Para mantener la persistencia, SwaetRAT modifica el registro del sistema y crea accesos directos de inicio. Escribe su ruta ejecutable en una clave de registro en la sección Software del usuario, lo que garantiza que el proceso malicioso se ejecute cada vez que se inicia el sistema. Un acceso directo correspondiente en la carpeta de inicio recupera esta ruta y ejecuta un comando de PowerShell para reiniciar el malware, lo que lo integra de manera efectiva en los procesos de inicio del sistema.
Comunicación y ejecución de comandos
Una vez que está operativo, el malware establece una conexión con un servidor de comando y control (C2), lo que permite a los atacantes remotos emitir instrucciones. La carga útil decodificada interactúa con un cliente web, convirtiendo una cadena codificada en hexadecimal en una matriz de bytes antes de ejecutar aspnet_compiler.exe con estos bytes decodificados como argumentos. Este flujo de ejecución sugiere un intento de ejecutar más código malicioso bajo la apariencia de procesos legítimos del sistema.
Variantes identificadas y observaciones previas
SwaetRAT se ha vinculado a campañas analizadas en 2023. La muestra de malware examinada en ese caso conservaba las mismas funcionalidades de RAT y estaba asociada a un servidor C2 ubicado en 144.126.149.221:7777. Una característica notable de esta muestra era su replicación en el directorio %APPDATA%CCleaner.exe, lo que indica su intento de hacerse pasar por una utilidad de software conocida. Curiosamente, la falta de ofuscación en esta variante facilitó a los analistas la extracción de sus capacidades de acceso remoto y patrones de comunicación.
Las implicaciones de las actividades de SwaetRAT
La presencia de SwaetRAT en un dispositivo puede generar importantes problemas de seguridad. Dadas sus características de acceso remoto, los atacantes podrían ejecutar comandos arbitrarios, manipular archivos o implementar cargas útiles maliciosas adicionales. Además, su capacidad para evadir la detección y mantener la persistencia significa que los sistemas comprometidos pueden permanecer bajo el control del atacante durante períodos prolongados sin que los usuarios noten ninguna actividad sospechosa.
Comprender las tácticas que utilizan amenazas como SwaetRAT es fundamental para que todos puedan implementar defensas efectivas. Las actualizaciones de seguridad periódicas, el monitoreo de modificaciones inusuales del sistema y el uso de medidas de protección de endpoints sólidas pueden ayudar a mitigar los riesgos que plantean dichas amenazas. Al mantenerse informados y alertas, los usuarios pueden proteger mejor sus entornos digitales de intrusiones furtivas como SwaetRAT.
