Hacker abusano di porte RDP aperte per l'accesso remoto utilizzando malware Backdoor di Windows

Hacker abusano di porte RDP aperte per l'accesso remoto utilizzando malware Backdoor di Windows

Recentemente, i ricercatori di sicurezza hanno scoperto una nuova versione del malware Windows che apre la porta RDP sui PC Windows per un futuro accesso remoto.

Il ricercatore di sicurezza di SentinelOne, Jason Reaves, ha rivelato che questa nuova versione di malware è nota come "Sarwent" ed è in uso dal 2018.

Attualmente, questa nuova versione del malware Sarwent sta concretamente attirando l'attenzione di numerosi esperti di sicurezza.

Un tweet del ricercatore di sicurezza, Vitali Kremez, è emerso all'inizio di quest'anno, 2020, in cui si menzionano alcune informazioni su questo malware Sarwent.

Gli esperti di sicurezza hanno anche chiarito che non è ancora confermato, esattamente come viene distribuito Sarwent, potrebbe essere possibile che ciò avvenga attraverso altri malware. Inoltre, le versioni precedenti di Sarwent sono state sviluppate per installare malware aggiuntivo su PC compromessi.

A parte questo, è molto probabile che gli operatori del malware Sarwent servano a vendere l'accesso a questi sistemi compromessi sui portali e nei forum degli hacker, in quanto è uno dei metodi più comuni per monetizzare gli host abilitati per RDP.

Funzionalità di infezione di Sarwent

Il malware Sarwent è ancora attivamente sviluppato e utilizzato dagli hacker, ma con nuovi comandi e un focus su Remote Desktop Protocol (RDP). La nuova versione di Sarwent si distingue per la sua capacità di eseguire comandi CLI personalizzati tramite il prompt dei comandi di Windows e le utility di PowerShell. 

Sebbene questa nuova funzionalità sia altamente intrusiva da sola, ma gli esperti di sicurezza hanno affermato che Sarwent ha ricevuto anche un'altra nuova funzionalità con l'aggiornamento ed è la possibilità di registrare un nuovo account utente di Windows su ciascun host infetto.

Una volta che Sarwent è attivo su un sistema, il malware crea un nuovo account utente di Windows, modifica il firewall e quindi apre le porte RDP.

In breve, gli aggressori saranno in grado di utilizzare il nuovo utente di Windows che hanno creato sul sistema infetto per accedere all'host senza essere bloccato dal firewall di Windows.

Secondo il ricercatore di sicurezza di SentinelOne, Jason Reaves, questo viene fatto per ottenere un accesso remoto futuro sul sistema compromesso. Ciò può coinvolgere gli stessi aggressori, ma l'investigatore non esclude la possibilità che l'accesso ai PSR sia rivenduto ad altri criminali.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.