Malware se otevře PRV backdoor do systému Windows

nová verze Sarwent malware může otevřít Remote Desktop Protocol (RDP) port na cílové počítače se systémem Windows, aby se ujistil, že podvodníci mohou najít cestu zpět do systému přes backdoor.

Zda tento přístup je později použít stejný podvodníci nebo prodán ransomware gangy nebo kybernetické špionáže skupin je neznámý, ale postižení uživatelé by měli vědět, že odstranění malware není blízko, že konkrétní „backdoor“.

nové funkce Sarwent

Sarwent je kus malwaru, který začal jako zavaděč pro jiný malware,ale nedávno byl aktualizován dvěma novými funkcemi, vědci SentinelOne objevili.

tyto nikdy varianty mohou nyní také:

• Spouštět příkazy pomocí Příkazového Řádku systému Windows PowerShell a
• Vytvořit nový uživatelský účet systému Windows, povolit RDP služby, a provést změny brány firewall systému Windows tak, že RDP přístup k infikovaný stroj je dovoleno

Odstranění malware z infikovaného počítače, bude automaticky zavřít PRV „díra“. Uživatelé, Administrátoři nebo placené „čističe“ musí také odstranit uživatelský účet nastavený malwarem a zavřít Přístupový port RDP v bráně firewall.

RDP přístup: Horké zboží

Získání přístupu do počítače se systémem Windows přes Remote Desktop Protocol stát přednostní taktika cyber podvodníci a ransomware gangy, ačkoli oni obvykle scan pro stroje/servery, které již mají povolen protokol RDP a pak se snaží brute-force hesla, které chrání přístup pomocí to.

vzhledem k tomu, že se COVID-19 rozšířil po celém světě a mnoho zaměstnanců začalo pracovat z domova, používání RDP prudce vzrostlo.

podvodníci ovládající Sarwent chtějí zvýšit šance na zachování přístupu k počítači Po nalezení a odstranění malwaru.

je možné, že chtějí tento přístup použít sami, aby později počítač znovu infikovali. Je také možné, že si tento přístup pronajmou nebo prodají jiným kybernetickým gangům nebo jednotlivcům.

přístup k podnikovým sítím a systémům se pravidelně prodává na temných webových fórech a tržištích.