uma nova versão do malware Sarwent pode abrir a porta do Remote Desktop Protocol (RDP) nos computadores do target Windows para se certificar de que os bandidos podem encontrar o seu caminho de volta para o sistema através da porta de trás.
se esse acesso é usado mais tarde pelos mesmos bandidos ou vendido para gangues de ransomware ou grupos de espionagem cibernética é Desconhecido, mas os usuários afetados devem saber que remover o malware não fecha esse “backdoor”particular.
Sarwent novos recursos
Sarwent é um pedaço de malware que começou como um carregador para outros tipos de malware, mas recentemente foi atualizado com duas novas funcionalidades, SentinelOne os pesquisadores descobriram.
estas variantes nunca podem agora também:
- Executar comandos via Prompt de Comando do Windows PowerShell e
- Criar uma nova conta de usuário do Windows, ativar o serviço de RDP para ele, e fazer alterações para o firewall do Windows para que RDP acesso ao computador infectado é permitido
Remover o malware do computador infectado, não irá fechar automaticamente a RDP “buraco”. Os usuários, administradores ou “limpadores” pagos também têm que remover a conta de usuário criada pelo malware e fechar a porta de acesso RDP no firewall.
acesso RDP: Uma commodity quente
ganhando acesso às máquinas do Windows através do Protocolo Desktop Remoto tornou-se uma tática preferida dos criminosos cibernéticos e gangues ransomware, embora eles geralmente pesquisam por máquinas/servidores que já têm RDP ativado e, em seguida, tentam forçar as senhas que salvaguardam o acesso através dele.Desde que a COVID-19 se espalhou por todo o mundo e muitos empregados começaram a trabalhar a partir de casa,o uso do RDP aumentou.
Os Vigaristas empunhando Sarwent querem aumentar as chances de manter o acesso à máquina após o malware ser encontrado e removido.
pode ser que eles queiram usar esse acesso eles mesmos, para reinfectar o computador em uma data posterior. Também é possível que eles plantem para alugar ou vender esse acesso a outros gangues cibernéticos ou indivíduos.
o acesso a redes e sistemas corporativos é regularmente vendido em fóruns web escuros e mercados.