Malware SwaetRAT: uno sguardo più approfondito alle sue capacità e ai suoi obiettivi
Table of Contents
Una minaccia ingannevole con capacità di accesso remoto
SwaetRAT è un sofisticato Remote Access Trojan (RAT) che utilizza tecniche di evasione avanzate per evitare il rilevamento mantenendo la persistenza sui sistemi compromessi. Questo malware basato su .Net è in grado di eseguire comandi da remoto, consentendo agli aggressori di manipolare i dispositivi infetti per vari scopi nefasti. Sfruttando le librerie native di Windows e i meccanismi di riflessione, interagisce con il sistema operativo a un livello basso, consentendogli di eseguire payload e controllare i processi di sistema senza destare sospetti immediati.
Come SwaetRAT si afferma nei sistemi
Per stabilirsi all'interno di un sistema, il malware sfrutta le interazioni a livello di API. Utilizza tecniche di patching live per aggirare le difese di sicurezza, modificando le funzioni che in genere rilevano o registrano attività sospette. Una di queste modifiche riguarda l'applicazione di patch ad AmsiScanBuffer(), che impedisce al software di sicurezza di analizzare script dannosi. Inoltre, il malware altera EtwEventWrite(), una funzione responsabile della generazione di log degli eventi, assicurando che le sue attività rimangano inosservate dai meccanismi di registrazione.
SwaetRAT consolida ulteriormente la sua posizione manomettendo la libreria ntdll.dll, modificando le funzioni chiave per restituire valori predeterminati. Questo approccio varia in base all'architettura del sistema, che sia a 32 bit o a 64 bit, dimostrando la sua adattabilità. Una volta che queste modifiche sono in atto, il malware procede a decodificare ed eseguire un payload codificato in Base64 che alla fine carica un assembly per ulteriori operazioni.
Uno sguardo più da vicino al suo carico utile e alla sua esecuzione
Il payload decodificato è strutturato come un file Portable Executable (PE), un formato standard per gli eseguibili Windows e le librerie a collegamento dinamico (DLL). Creando un'istanza della sua classe di punto di ingresso e invocandone i metodi, SwaetRAT assicura che le sue funzionalità dannose vengano eseguite correttamente. Una delle sue principali tattiche di evasione include la copia di se stesso nel percorso %LOCALAPPDATA%\Microsoft\_OneDrive.exe. Questo comportamento è progettato per bypassare gli ambienti sandbox che spesso analizzano i file da directory fisse.
Per mantenere la persistenza, SwaetRAT modifica il registro di sistema e crea scorciatoie di avvio. Scrive il suo percorso eseguibile in una chiave di registro sotto l'hive Software dell'utente, assicurando che il processo dannoso venga eseguito ogni volta che il sistema si avvia. Una scorciatoia corrispondente nella cartella Startup recupera questo percorso, eseguendo un comando PowerShell per rilanciare il malware, incorporandosi di fatto nei processi di avvio del sistema.
Comunicazione ed esecuzione dei comandi
Una volta operativo, il malware stabilisce una connessione con un server di comando e controllo (C2), consentendo agli aggressori remoti di impartire istruzioni. Il payload decodificato interagisce con un client Web, convertendo una stringa codificata in esadecimale in un array di byte prima di eseguire aspnet_compiler.exe con questi byte decodificati come argomenti. Questo flusso di esecuzione suggerisce uno sforzo per eseguire ulteriore codice dannoso sotto le mentite spoglie di processi di sistema legittimi.
Varianti identificate e osservazioni precedenti
SwaetRAT è stato collegato a campagne analizzate nel 2023. Il campione di malware esaminato in quell'istanza ha mantenuto le stesse funzionalità RAT ed è stato associato a un server C2 situato in 144.126.149.221:7777. Una caratteristica degna di nota di questo campione è stata la sua replica nella directory %APPDATA%CCleaner.exe, indicando il suo tentativo di mascherarsi da nota utility software. È interessante notare che la mancanza di offuscamento in questa variante ha reso più facile per gli analisti estrarre le sue capacità di accesso remoto e i modelli di comunicazione.
Le implicazioni delle attività di SwaetRAT
La presenza di SwaetRAT su un dispositivo può portare a notevoli problemi di sicurezza. Date le sue funzionalità di accesso remoto, gli aggressori potrebbero eseguire comandi arbitrari, manipolare file o distribuire payload dannosi aggiuntivi. Inoltre, la sua capacità di eludere il rilevamento e mantenere la persistenza significa che i sistemi compromessi potrebbero rimanere sotto il controllo dell'aggressore per lunghi periodi senza che gli utenti notino alcuna attività sospetta.
Comprendere le tattiche utilizzate da minacce come SwaetRAT è fondamentale per chiunque voglia implementare difese efficaci. Aggiornamenti di sicurezza regolari, monitoraggio di modifiche insolite del sistema e impiego di misure di protezione degli endpoint robuste possono aiutare a mitigare i rischi posti da tali minacce. Restando informati e vigili, gli utenti possono proteggere meglio i loro ambienti digitali da intrusioni furtive come SwaetRAT.
