o nouă versiune a malware-ului Sarwent poate deschide portul Remote Desktop Protocol (RDP) pe computerele Windows țintă pentru a vă asigura că infractorii își pot găsi drumul înapoi în sistem prin backdoor.
nu se știe dacă acest acces este utilizat ulterior de aceiași escroci sau vândut bandelor de ransomware sau grupurilor de spionaj cibernetic, dar utilizatorii afectați ar trebui să știe că eliminarea malware-ului nu închide acel „backdoor”.
noile capabilități ale Sarwent
Sarwent este un malware care a început ca un încărcător pentru alte programe malware, dar a fost actualizat recent cu două noi funcționalități, au descoperit cercetătorii SentinelOne.
aceste niciodată variante pot acum, de asemenea:
- executați comenzi prin promptul de comandă Windows și PowerShell
- creați un nou cont de utilizator Windows, activați serviciul RDP pentru acesta și efectuați modificări la paravanul de protecție Windows, astfel încât accesul RDP la mașina infectată să fie permis
eliminarea malware-ului de pe computerul infectat nu va închide automat „gaura”RDP. Utilizatorii, administratorii sau „curățătorii” plătiți trebuie, de asemenea, să elimine contul de utilizator configurat de malware și să închidă portul de acces RDP din firewall.
acces RDP: O marfă fierbinte
obținerea accesului la mașinile Windows prin intermediul protocolului Desktop la distanță a devenit o tactică preferată a infractorilor cibernetici și a bandelor de ransomware, deși de obicei scanează mașini/servere care au deja RDP activat și apoi încearcă să forțeze parolele care protejează accesul prin acesta.
de când COVID-19 S-a răspândit pe tot globul și mulți angajați au început să lucreze de acasă, utilizarea RDP a crescut.
escrocii inarmati Sarwent doresc să crească șansele de a păstra accesul la mașină după malware este găsit și eliminat.
s-ar putea ca ei să dorească să folosească ei înșiși acel acces, pentru a reinfecta computerul la o dată ulterioară. De asemenea, este posibil ca acestea să închirieze sau să vândă accesul la alte bande cibernetice sau persoane fizice.
accesul la rețelele și sistemele corporative este vândut în mod regulat pe forumurile și piețele dark web.