Une nouvelle version du logiciel malveillant Sarwent peut ouvrir le port du protocole RDP (Remote Desktop Protocol) sur les ordinateurs Windows cibles pour s’assurer que les escrocs peuvent revenir dans le système via la porte dérobée.
On ignore si cet accès est utilisé ultérieurement par les mêmes escrocs ou vendu à des gangs de ransomwares ou à des groupes de cyberespionnage, mais les utilisateurs concernés doivent savoir que la suppression du logiciel malveillant ne ferme pas cette « porte dérobée » particulière.
Les nouvelles capacités de Sarwent
Sarwent est un logiciel malveillant qui a commencé comme chargeur pour d’autres logiciels malveillants, mais qui a récemment été mis à jour avec deux nouvelles fonctionnalités, ont découvert les chercheurs de SentinelOne.
Ces variantes jamais peuvent maintenant aussi:
- Exécutez des commandes via l’invite de commande Windows et PowerShell
- Créez un nouveau compte utilisateur Windows, activez le service RDP pour celui-ci et apportez des modifications au pare-feu Windows afin que l’accès RDP à la machine infectée soit autorisé
La suppression du logiciel malveillant de l’ordinateur infecté ne fermera pas automatiquement le « trou » RDP. Les utilisateurs, les administrateurs ou les « nettoyeurs » payants doivent également supprimer le compte utilisateur configuré par le logiciel malveillant et fermer le port d’accès RDP dans le pare-feu.
Accès RDP: Un produit chaud
Qui accède aux machines Windows via le protocole de bureau à distance est devenu une tactique préférée des cyber-escrocs et des gangs de ransomwares, bien qu’ils recherchent généralement des machines / serveurs qui ont déjà activé RDP, puis ils essaient de forcer les mots de passe qui protègent l’accès via celui-ci.
Depuis que la COVID-19 s’est répandue dans le monde entier et que de nombreux employés ont commencé à travailler à domicile, l’utilisation du PDR a explosé.
Les escrocs brandissant Sarwent veulent augmenter les chances de conserver l’accès à la machine une fois le logiciel malveillant trouvé et supprimé.
Il se peut qu’ils veuillent utiliser cet accès eux-mêmes, pour réinfecter l’ordinateur à une date ultérieure. Il est également possible qu’ils plantent pour louer ou vendre cet accès à d’autres gangs ou individus cybernétiques.
L’accès aux réseaux et systèmes d’entreprise est régulièrement vendu sur les forums et les marchés du dark Web.