a Sarwent malware új verziója megnyithatja a Remote Desktop Protocol (RDP) portot a megcélzott Windows számítógépeken, hogy megbizonyosodjon arról, hogy a csalók a hátsó ajtón keresztül vissza tudnak térni a rendszerbe.
nem ismert, hogy ezt a hozzáférést később ugyanazok a csalók használják-e, vagy eladják-e ransomware bandáknak vagy számítógépes Kémkedési csoportoknak, de az érintett felhasználóknak tudniuk kell, hogy a rosszindulatú programok eltávolítása nem zárja be az adott “hátsó ajtót”.
a Sarwent új képességei
a Sarwent egy rosszindulatú program, amely más rosszindulatú programok betöltőjeként indult, de nemrégiben két új funkcióval frissült, fedezték fel a SentinelOne kutatói.
ezek soha változatok most is:
- parancsok végrehajtása A Windows Command Prompt és a PowerShell segítségével
- hozzon létre egy új Windows felhasználói fiókot, engedélyezze az RDP szolgáltatást, és módosítsa a Windows tűzfalat úgy, hogy az RDP hozzáférés engedélyezett legyen a fertőzött géphez
a rosszindulatú program eltávolítása a fertőzött számítógépről nem zárja be automatikusan az RDP “lyukat”. A felhasználóknak, rendszergazdáknak vagy fizetett “tisztítóknak” szintén el kell távolítaniuk a rosszindulatú program által létrehozott felhasználói fiókot, és be kell zárniuk a tűzfal RDP hozzáférési portját.
RDP hozzáférés: A hot commodity
A Windows gépekhez való hozzáférés a Távoli asztali protokollon keresztül a számítógépes csalók és a ransomware bandák kedvelt taktikájává vált, bár általában olyan gépeket/szervereket keresnek, amelyek már engedélyezték az RDP-t, majd megpróbálják brute-force a jelszavak, amelyek biztosítják a hozzáférést rajta keresztül.
mióta a COVID-19 elterjedt az egész világon, és sok alkalmazott otthon kezdett dolgozni, az RDP használata megugrott.
a sarwent-et használó csalók növelni akarják a géphez való hozzáférés esélyeit, miután a rosszindulatú programot megtalálták és eltávolították.
lehet, hogy maguk akarják használni ezt a hozzáférést, hogy egy későbbi időpontban újra megfertőzzék a számítógépet. Az is lehetséges, hogy telepítik, hogy béreljék vagy eladják ezt a hozzáférést más kiberbandáknak vagy egyéneknek.
a vállalati hálózatokhoz és rendszerekhez való hozzáférést rendszeresen értékesítik a dark web fórumokon és piactereken.