en ny versjon Av Sarwent malware kan åpne Remote Desktop Protocol (RDP) port på målet Windows-datamaskiner for å sørge for at crooks kan finne veien tilbake inn i systemet gjennom bakdør.
Om den tilgangen brukes senere av de samme skurkene eller selges til ransomware-gjenger eller cyberspionagegrupper, er ukjent, men berørte brukere bør vite at fjerning av skadelig programvare ikke lukker den aktuelle «bakdøren».
Sarwents nye evner
Sarwent er et stykke malware som startet som en laster for annen malware, men har nylig blitt oppdatert med to nye funksjoner, Oppdaget SentinelOne-forskere.
disse aldri varianter kan nå også:
- Utfør kommandoer Via Windows Command Prompt og PowerShell
- Opprett En Ny Windows – brukerkonto, aktiver RDP-tjenesten for Den og gjør endringer I Windows-brannmuren slik at RDP-tilgang til den infiserte maskinen er tillatt
Fjerning av skadelig programvare fra den infiserte datamaskinen vil ikke automatisk lukke RDP «hullet». Brukere, administratorer eller betalte «rengjøringsmidler» må også fjerne brukerkontoen som er satt opp av malware og lukke RDP-tilgangsporten i brannmuren.
RDP-tilgang: En varm vare
Å Få tilgang Til Windows-maskiner via Remote Desktop Protocol har blitt en foretrukket taktikk for cyberkrevere og ransomware-gjenger, selv om de vanligvis skanner etter maskiner/servere som allerede har RDP aktivert, og deretter prøver de å brute-tvinge passordene som sikrer tilgang gjennom den.
SIDEN COVID-19 spredte seg over hele verden og mange ansatte begynte å jobbe hjemmefra, HAR BRUKEN av RDP økt.
skurkene wielding Sarwent ønsker å øke sjansene for å beholde tilgang til maskinen etter malware er funnet og fjernet.
det kan være at de vil bruke den tilgangen selv, for å reinfect datamaskinen på et senere tidspunkt. Det er også mulig at de planter for å leie eller selge den tilgangen til andre cyberbander eller enkeltpersoner.
Tilgang til bedriftsnettverk og systemer selges regelmessig på mørke webfora og markedsplasser.