Hacker abusano di porte RDP aperte per l'accesso remoto utilizzando malware Backdoor di Windows
25 Maggio 2020 - Tempo di lettura: 8 minuti
Recentemente, i ricercatori di sicurezza hanno scoperto una nuova versione del malware Windows che apre la porta RDP sui PC Windows per un futuro accesso remoto.
Il ricercatore di sicurezza di SentinelOne, Jason Reaves, ha rivelato che questa nuova versione di malware è nota come "Sarwent" ed è in uso dal 2018.
Attualmente, questa nuova versione del malware Sarwent sta concretamente attirando l'attenzione di numerosi esperti di sicurezza.
Un tweet del ricercatore di sicurezza, Vitali Kremez, è emerso all'inizio di quest'anno, 2020, in cui si menzionano alcune informazioni su questo malware Sarwent.
Gli esperti di sicurezza hanno anche chiarito che non è ancora confermato, esattamente come viene distribuito Sarwent, potrebbe essere possibile che ciò avvenga attraverso altri malware. Inoltre, le versioni precedenti di Sarwent sono state sviluppate per installare malware aggiuntivo su PC compromessi.
A parte questo, è molto probabile che gli operatori del malware Sarwent servano a vendere l'accesso a questi sistemi compromessi sui portali e nei forum degli hacker, in quanto è uno dei metodi più comuni per monetizzare gli host abilitati per RDP.
Funzionalità di infezione di Sarwent
Il malware Sarwent è ancora attivamente sviluppato e utilizzato dagli hacker, ma con nuovi comandi e un focus su Remote Desktop Protocol (RDP). La nuova versione di Sarwent si distingue per la sua capacità di eseguire comandi CLI personalizzati tramite il prompt dei comandi di Windows e le utility di PowerShell.
Sebbene questa nuova funzionalità sia altamente intrusiva da sola, ma gli esperti di sicurezza hanno affermato che Sarwent ha ricevuto anche un'altra nuova funzionalità con l'aggiornamento ed è la possibilità di registrare un nuovo account utente di Windows su ciascun host infetto.
Una volta che Sarwent è attivo su un sistema, il malware crea un nuovo account utente di Windows, modifica il firewall e quindi apre le porte RDP.
In breve, gli aggressori saranno in grado di utilizzare il nuovo utente di Windows che hanno creato sul sistema infetto per accedere all'host senza essere bloccato dal firewall di Windows.
Secondo il ricercatore di sicurezza di SentinelOne, Jason Reaves, questo viene fatto per ottenere un accesso remoto futuro sul sistema compromesso. Ciò può coinvolgere gli stessi aggressori, ma l'investigatore non esclude la possibilità che l'accesso ai PSR sia rivenduto ad altri criminali.
