Logiciel malveillant SwaetRAT : un examen plus approfondi de ses capacités et de ses objectifs

Une menace trompeuse avec des capacités d’accès à distance

SwaetRAT est un cheval de Troie d'accès à distance sophistiqué qui utilise des techniques d'évasion avancées pour éviter d'être détecté tout en maintenant la persistance sur les systèmes compromis. Ce malware basé sur .Net est capable d'exécuter des commandes à distance, ce qui permet aux attaquants de manipuler les appareils infectés à diverses fins malveillantes. En exploitant les bibliothèques Windows natives et les mécanismes de réflexion, il interagit avec le système d'exploitation à un niveau bas, ce qui lui permet d'exécuter des charges utiles et de contrôler les processus système sans éveiller de soupçons immédiats.

Comment SwaetRAT s'implante dans les systèmes

Pour s'implanter dans un système, le malware exploite les interactions au niveau de l'API. Il utilise des techniques de correctifs en direct pour contourner les défenses de sécurité, en modifiant les fonctions qui détectent ou enregistrent généralement les activités suspectes. L'une de ces modifications consiste à appliquer un correctif à AmsiScanBuffer(), qui empêche les logiciels de sécurité d'analyser les scripts malveillants. En outre, le malware modifie EtwEventWrite(), une fonction responsable de la génération des journaux d'événements, garantissant que ses activités restent indétectables par les mécanismes de journalisation.

SwaetRAT renforce encore sa position en altérant la bibliothèque ntdll.dll, en modifiant les fonctions clés pour renvoyer des valeurs prédéterminées. Cette approche varie en fonction de l'architecture du système, qu'elle soit 32 bits ou 64 bits, ce qui démontre son adaptabilité. Une fois ces modifications en place, le malware procède au décodage et à l'exécution d'une charge utile codée en Base64 qui charge finalement un assemblage pour d'autres opérations.

Un examen plus approfondi de sa charge utile et de son exécution

La charge utile décodée est structurée comme un fichier exécutable portable (PE), un format standard pour les exécutables Windows et les bibliothèques de liens dynamiques (DLL). En créant une instance de sa classe de point d'entrée et en invoquant ses méthodes, SwaetRAT garantit que ses fonctionnalités malveillantes sont correctement exécutées. L'une de ses principales tactiques d'évasion consiste à se copier dans le chemin %LOCALAPPDATA%\Microsoft\_OneDrive.exe. Ce comportement est conçu pour contourner les environnements sandbox qui analysent souvent les fichiers à partir de répertoires fixes.

Pour maintenir sa persistance, SwaetRAT modifie le registre du système et crée des raccourcis de démarrage. Il écrit son chemin d'accès exécutable dans une clé de registre sous la ruche Software de l'utilisateur, garantissant ainsi que le processus malveillant s'exécute à chaque démarrage du système. Un raccourci correspondant dans le dossier Startup récupère ce chemin d'accès, exécutant une commande PowerShell pour relancer le malware, s'intégrant ainsi efficacement dans les processus de démarrage du système.

Communication et exécution des commandes

Une fois opérationnel, le malware établit une connexion avec un serveur de commande et de contrôle (C2), permettant aux attaquants distants d'émettre des instructions. La charge utile décodée interagit avec un client Web, convertissant une chaîne codée en hexadécimal en un tableau d'octets avant d'exécuter aspnet_compiler.exe avec ces octets décodés comme arguments. Ce flux d'exécution suggère une tentative d'exécuter davantage de code malveillant sous le couvert de processus système légitimes.

Variantes identifiées et observations antérieures

SwaetRAT a été associé à des campagnes analysées en 2023. L'échantillon de malware examiné dans ce cas conservait les mêmes fonctionnalités RAT et était associé à un serveur C2 situé à 144.126.149.221:7777. Une caractéristique notable de cet échantillon était sa réplication dans le répertoire % APPDATA%CCleaner.exe, indiquant sa tentative de se faire passer pour un utilitaire logiciel bien connu. Il est intéressant de noter que l'absence d'obfuscation dans cette variante a permis aux analystes d'extraire plus facilement ses capacités d'accès à distance et ses modèles de communication.

Les implications des activités de SwaetRAT

La présence de SwaetRAT sur un appareil peut entraîner des problèmes de sécurité importants. Grâce à ses fonctionnalités d'accès à distance, les attaquants peuvent exécuter des commandes arbitraires, manipuler des fichiers ou déployer des charges utiles malveillantes supplémentaires. De plus, sa capacité à échapper à la détection et à maintenir la persistance signifie que les systèmes compromis peuvent rester sous le contrôle des attaquants pendant des périodes prolongées sans que les utilisateurs ne remarquent une quelconque activité suspecte.

Il est essentiel de comprendre les tactiques utilisées par les menaces telles que SwaetRAT pour mettre en œuvre des défenses efficaces. Des mises à jour de sécurité régulières, la surveillance des modifications inhabituelles du système et l'utilisation de mesures de protection robustes des terminaux peuvent contribuer à atténuer les risques posés par de telles menaces. En restant informés et vigilants, les utilisateurs peuvent mieux protéger leurs environnements numériques contre les intrusions furtives telles que SwaetRAT.

Par Willa
January 7, 2025
Malware, Trojan
Français
January 7, 2025
Malware, Trojan

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.