Malware SwaetRAT: Uma análise mais aprofundada de suas capacidades e objetivos

Uma ameaça enganosa com recursos de acesso remoto

SwaetRAT é um Trojan de acesso remoto (RAT) sofisticado que utiliza técnicas avançadas de evasão para evitar a detecção, mantendo a persistência em sistemas comprometidos. Este malware baseado em .Net é capaz de executar comandos remotamente, permitindo que invasores manipulem dispositivos infectados para vários propósitos nefastos. Ao aproveitar bibliotecas nativas do Windows e mecanismos de reflexão, ele interage com o sistema operacional em um nível baixo, permitindo que ele execute payloads e controle processos do sistema sem levantar suspeitas imediatas.

Como a SwaetRAT ganha uma posição nos sistemas

Para se estabelecer dentro de um sistema, o malware tira proveito das interações em nível de API. Ele emprega técnicas de patching ao vivo para contornar defesas de segurança, modificando funções que normalmente detectam ou registram atividades suspeitas. Uma dessas modificações envolve o patching do AmsiScanBuffer(), que impede que o software de segurança analise scripts maliciosos. Além disso, o malware altera o EtwEventWrite(), uma função responsável por gerar logs de eventos, garantindo que suas atividades permaneçam indetectáveis pelos mecanismos de registro.

O SwaetRAT solidifica ainda mais sua posição ao adulterar a biblioteca ntdll.dll, modificando funções-chave para retornar valores predeterminados. Essa abordagem varia com base na arquitetura do sistema, seja de 32 bits ou 64 bits, demonstrando sua adaptabilidade. Uma vez que essas modificações estejam em vigor, o malware prossegue para decodificar e executar uma carga útil codificada em Base64 que, por fim, carrega um assembly para operações posteriores.

Um olhar mais atento à sua carga útil e execução

A carga decodificada é estruturada como um arquivo Portable Executable (PE), um formato padrão para executáveis do Windows e bibliotecas de vínculo dinâmico (DLLs). Ao criar uma instância de sua classe de ponto de entrada e invocar seus métodos, o SwaetRAT garante que suas funcionalidades maliciosas sejam executadas corretamente. Uma de suas principais táticas de evasão inclui copiar a si mesmo para o caminho %LOCALAPPDATA%\Microsoft\_OneDrive.exe. Esse comportamento é projetado para ignorar ambientes de sandbox que geralmente analisam arquivos de diretórios fixos.

Para manter a persistência, o SwaetRAT modifica o registro do sistema e cria atalhos de inicialização. Ele grava seu caminho executável em uma chave de registro sob o hive de Software do usuário, garantindo que o processo malicioso seja executado toda vez que o sistema for inicializado. Um atalho correspondente na pasta Startup recupera esse caminho, executando um comando do PowerShell para reiniciar o malware, efetivamente se incorporando aos processos de inicialização do sistema.

Comunicação e Execução de Comandos

Uma vez operacional, o malware estabelece uma conexão com um servidor de comando e controle (C2), permitindo que invasores remotos emitam instruções. A carga útil decodificada interage com um cliente da web, convertendo uma string codificada em hexadecimal em uma matriz de bytes antes de executar aspnet_compiler.exe com esses bytes decodificados como argumentos. Esse fluxo de execução sugere um esforço para executar mais código malicioso sob o disfarce de processos legítimos do sistema.

Variantes identificadas e observações anteriores

O SwaetRAT foi vinculado a campanhas analisadas em 2023. A amostra de malware examinada naquela instância manteve as mesmas funcionalidades do RAT e foi associada a um servidor C2 localizado em 144.126.149.221:7777. Uma característica notável desta amostra foi sua replicação no diretório % APPDATA%CCleaner.exe, indicando sua tentativa de se disfarçar como um utilitário de software bem conhecido. Curiosamente, a falta de ofuscação nesta variante tornou mais fácil para os analistas extrair seus recursos de acesso remoto e padrões de comunicação.

As implicações das atividades da SwaetRAT

A presença do SwaetRAT em um dispositivo pode levar a preocupações significativas de segurança. Dadas suas características de acesso remoto, os invasores podem executar comandos arbitrários, manipular arquivos ou implantar payloads maliciosos adicionais. Além disso, sua capacidade de evitar a detecção e manter a persistência significa que os sistemas comprometidos podem permanecer sob o controle do invasor por longos períodos sem que os usuários percebam qualquer atividade suspeita.

Entender as táticas usadas por ameaças como SwaetRAT é crucial para todos na implementação de defesas eficazes. Atualizações regulares de segurança, monitoramento de modificações incomuns no sistema e emprego de medidas robustas de proteção de endpoint podem ajudar a mitigar os riscos apresentados por tais ameaças. Ao se manterem informados e vigilantes, os usuários podem proteger melhor seus ambientes digitais de intrusões furtivas como SwaetRAT.