Una nuova versione del malware Sarwent può aprire la porta Remote Desktop Protocol (RDP) sui computer Windows di destinazione per assicurarsi che i truffatori possono trovare la via del ritorno nel sistema attraverso la backdoor.
Se tale accesso viene utilizzato in seguito dagli stessi truffatori o venduto a bande ransomware o gruppi di spionaggio informatico è sconosciuto, ma gli utenti interessati dovrebbero sapere che la rimozione del malware non chiude quella particolare “backdoor”.
Le nuove funzionalità di Sarwent
Sarwent è un malware che è iniziato come caricatore per altri malware, ma è stato recentemente aggiornato con due nuove funzionalità, hanno scoperto i ricercatori di SentinelOne.
Queste varianti non possono ora anche:
- Esegui comandi tramite prompt dei comandi di Windows e PowerShell
- Crea un nuovo account utente di Windows, abilita il servizio RDP e apporta modifiche al firewall di Windows in modo che sia consentito l’accesso RDP alla macchina infetta
La rimozione del malware dal computer infetto non chiuderà automaticamente il “buco”RDP. Utenti, amministratori o “addetti alle pulizie” a pagamento devono anche rimuovere l’account utente impostato dal malware e chiudere la porta di accesso RDP nel firewall.
Accesso RDP: Un prodotto caldo
Ottenere l’accesso alle macchine Windows tramite il protocollo Desktop remoto è diventata una tattica preferita di truffatori informatici e bande ransomware, anche se di solito la scansione per le macchine/server che hanno già RDP abilitato e poi cercano di forza bruta le password che salvaguardano l’accesso attraverso di essa.
Da quando COVID-19 si è diffuso in tutto il mondo e molti dipendenti hanno iniziato a lavorare da casa, l’uso di RDP è aumentato vertiginosamente.
I truffatori che brandiscono Sarwent vogliono aumentare le possibilità di mantenere l’accesso alla macchina dopo che il malware viene trovato e rimosso.
Potrebbe essere che vogliano usare quell’accesso da soli, per reinfettare il computer in un secondo momento. È anche possibile che piantino di affittare o vendere quell’accesso ad altre bande o individui informatici.
L’accesso alle reti e ai sistemi aziendali viene regolarmente venduto su forum e marketplace del dark web.