El malware de Home windows abre los puertos RDP en las Computer system para acceso remoto futuro


RDP - Protocolo de escritorio remoto

Imagen: ZDNet // Catalin Cimpanu

Los investigadores de seguridad dicen que han descubierto una nueva versión del malware Sarwent que abre los puertos RDP (Distant Desktop Protocol) en las computadoras infectadas para que los hackers puedan obtener acceso práctico a los hosts infectados.

Los investigadores de SentinelOne, que vieron esta nueva versión, creen que los operadores de Sarwent probablemente se están preparando para vender el acceso a estos sistemas en el inframundo del cibercrimen, un método común para monetizar hosts con capacidad RDP.

El malware Sarwent

El malware Sarwent es un troyano de puerta trasera menos conocido que existe desde 2018. En sus versiones anteriores, el malware contenía un conjunto limitado de funcionalidades, como la capacidad de descargar e instalar otro malware en computadoras comprometidas.

Pero en una campaña reciente detectada en las últimas semanas, el analista de malware SentinelOne Jason Reaves dice que Sarwent recibió dos actualizaciones críticas.

El primero es la capacidad de ejecutar comandos de CLI personalizados a través del símbolo del sistema de Windows y las utilidades de PowerShell.

Pero aunque esta nueva característica es bastante intrusiva por sí sola, el investigador dice que Sarwent también recibió otra nueva característica con esta actualización más reciente.

Reaves dice que Sarwent ahora registra una nueva cuenta de usuario de Home windows en cada host infectado, habilita el servicio RDP y luego modifica el firewall de Windows para permitir el acceso RDP externo al host infectado.

rdp-punch-hole.jpg "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/22/a2c0e39e-4f86-47ce-a848-be38ea78a0db/rdp-punch-hole.jpg

Imagen: SentinelOne, destacados por ZDNet

Esto significa que los operadores de Sarwent pueden usar el nuevo usuario de Windows que crearon para acceder a un host infectado sin ser bloqueado por el firewall area.

En una entrevista hoy, Reaves dijo ZDNet que la distribución de esta nueva versión de Sarwent es limitada, por el momento.

«Solo he visto esta nueva versión descargada como una infección secundaria a otro malware, como un ejemplo de Predator the Thief», dijo Reaves ZDNet.

Debido al esquema de distribución actual, limpiar una infección de Sarwent es «un poco más complicado», agregó el investigador.

Esto incluye eliminar Sarwent, el malware primary que lo instaló, eliminar al nuevo usuario de Home windows y luego cerrar el puerto de acceso RDP en el firewall de Windows.

¿Acceso RDP para qué?

Actualmente, sigue siendo un misterio lo que Sarwent está haciendo con el acceso RDP que está obteniendo en todos los hosts infectados.

«Normalmente, el desarrollo de malware en el dominio de crimeware está determinado por el deseo de monetizar algo o por la demanda de funcionalidad de los clientes», dijo Reaves ZDNet.

Existen varias teorías. La pandilla Sarwent podría usar el acceso RDP ellos mismos (para robar datos propietarios o instalar ransomware), podrían alquilar el acceso RDP a otras pandillas de cibercrimen o ransomware, o podrían estar enumerando los puntos finales RDP en las llamadas «tiendas RDP», como el que se detalla a continuación.

rm-rdp-shop.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/22/0856e929-35c4-47a7-a44f-e4a3fff44113/rm-rdp-shop.png

Imagen: ZDNet

Los indicadores de compromiso (IOC) para la nueva versión de malware Sarwent se incluyen en Informe Sarwent de SentinelOne. Los equipos de seguridad pueden usar estos COI para buscar infecciones de Sarwent en sus flotas de computadoras.





Enlace a la noticia first