Sarwentマルウェアの新しいバージョンは、ターゲットWindowsコンピュータのRemote Desktop Protocol(RDP)ポートを開き、詐欺師がバックドアを介してシステムに戻る方法を見つけることができるようにすることができます。
そのアクセスが後で同じ詐欺師によって使用されるのか、ランサムウェアギャングやサイバースパイグループに販売されるのかは不明ですが、影響を受けたユーザーは、マルウェアを削除してもその特定の”バックドア”が閉じられないことを知っている必要があります。
Sarwentの新機能
Sarwentは、他のマルウェアのローダーとして始まったマルウェアの一部ですが、最近2つの新しい機能で更新されました、SentinelOneの研究者が発見し
:
- WindowsコマンドプロンプトとPowerShellを介してコマンドを実行
- 新しいWindowsユーザーアカウントを作成し、RDPサービスを有効にし、感染したマシンへのRDPアクセスが許可されるようにWindowsファイアウォールを変更します
感染したコンピュータからマルウェアを削除しても、RDPの”穴”は自動的に閉じられません。 ユーザー、管理者、または有料の「クリーナー」も、マルウェアによって設定されたユーザーアカウントを削除し、ファイアウォールのRDPアクセスポートを閉じる必要があり
RDPアクセス: ホットなコモディティ
リモートデスクトッププロトコルを介してWindowsマシンへのアクセスを獲得することは、サイバー詐欺師やランサムウェアギャングの好ましい戦術になっていますが、彼らは通常、すでにRDPを有効にしているマシン/サーバーをスキャンし、それを介してアクセスを保護するパスワードをブルートフォースしようとします。
COVID-19が世界中に広がり、多くの従業員が在宅勤務を開始して以来、RDPの使用が急増しています。
Sarwentを振り回す詐欺師は、マルウェアが発見されて削除された後にマシンへのアクセスを保持する可能性を高めたいと考えています。
それは、彼らが後でコンピュータを再感染させるために、そのアクセスを自分自身で使用したいということかもしれません。 また、彼らが他のサイバーギャングや個人へのアクセスを賃貸または販売することも可能です。
企業のネットワークやシステムへのアクセスは、ダークウェブのフォーラムやマーケットプレイスで定期的に販売されている。