en ny version av Sarwent malware kan öppna Remote Desktop Protocol (RDP) port på mål Windows-datorer för att se till att skurkar kan hitta sin väg tillbaka in i systemet genom bakdörren.
huruvida den åtkomsten används senare av samma skurkar eller säljs till ransomware-gäng eller cyberspionage-grupper är okänt, men berörda användare bör veta att borttagning av skadlig kod inte stänger den specifika ”bakdörren”.
Sarwents nya funktioner
Sarwent är en bit skadlig kod som började som en lastare för annan skadlig kod, men har nyligen uppdaterats med två nya funktioner, upptäckte sentinelone-forskare.
dessa aldrig varianter kan nu också:
- kör kommandon via Windows Command Prompt och PowerShell
- skapa ett nytt Windows-användarkonto, aktivera RDP-tjänsten för det och gör ändringar i Windows-brandväggen så att RDP-åtkomst till den infekterade datorn tillåts
att ta bort skadlig kod från den infekterade datorn stänger inte automatiskt RDP – ”hålet”. Användare, administratörer eller betalda ”städare” måste också ta bort användarkontot som skapats av skadlig programvara och stänga RDP-åtkomstporten i brandväggen.
RDP-åtkomst: En het handelsvara
att få tillgång till Windows-maskiner via Fjärrskrivbordsprotokollet har blivit en föredragen taktik för cyberkrokar och ransomware-gäng, även om de vanligtvis söker efter maskiner/servrar som redan har RDP aktiverat och sedan försöker de brute-force lösenorden som skyddar Åtkomst genom den.
sedan COVID-19 spred sig över hela världen och många anställda började arbeta hemifrån har RDP-användningen ökat.
skurkarna som använder Sarwent vill öka chanserna att behålla åtkomst till maskinen efter att skadlig programvara har hittats och tagits bort.
det kan vara så att de vill använda den åtkomsten själva för att återinfektera datorn vid ett senare tillfälle. Det är också möjligt att de planterar för att hyra eller sälja den tillgången till andra cybergäng eller individer.
tillgång till företagsnätverk och system säljs regelbundet på mörka webbforum och marknadsplatser.