Investigadores de SentinelOne han descubierto una nueva versión del malware Sarwent que abre los puertos RDP (Remote Desktop Protocol) en las computadoras infectadas para que hackers puedan obtener acceso a los equipos infectados.
Se cree que los operadores de Sarwent probablemente se están preparando para vender el acceso a estos sistemas, un método común para monetizar hosts con capacidad RDP.
El malware Sarwent es un troyano que existe desde 2018. En sus versiones anteriores, el malware contenía un conjunto limitado de funcionalidades, como la capacidad de descargar e instalar otro malware en computadoras comprometidas.
En las últimas semanas se ha descubierto dos actualizaciones críticas:
- La capacidad de ejecutar comandos de CLI personalizados a través del símbolo del sistema de Windows y las utilidades de PowerShell.
- Crear una nueva cuenta de usuario de Windows en cada host infectado, habilita el servicio RDP y luego modifica el firewall de Windows para permitir el acceso RDP externo al host infectado.
Esto significa que los operadores de Sarwent pueden usar el nuevo usuario de Windows que crearon para acceder a un host infectado sin ser bloqueado por el firewall local.
Los indicadores de compromiso (IOCs)para la nueva versión de malware Sarwent se incluyen en el informe de SentinelOne’s Sarwent. Se pueden usar estos IOCs para buscar infecciones de Sarwent en los dispositivos finales.
Aún no se ha confirmado exactamente cómo se distribuye Sarwent. Se cree que es posible que esto suceda a través de otro malware. De momento se recomienda realizar un monitoreo constante los indicadores de compromiso asociados al malware, además de que siempre se mantengan los equipos actualizados.
Hay que tomar en cuenta que una vez identificado un equipo con el malware, eliminar el malware de la computadora infectada no cerrará automáticamente el acceso RDP. Los usuarios, administradores o «limpiadores» también tienen que eliminar la cuenta de usuario configurada por el malware y cerrar el puerto de acceso RDP en el firewall.
Más información: