Beveiligingsonderzoekers van SentinelOne hebben een nieuwe versie van de Sarwent-malware ontdekt, die de RDP-poorten op besmette computers openzet om aanvallers vanop afstand toegang te geven tot het systeem.
Windows malware zet poorten open voor aanvallers
Malware, een afkorting van kwaadaardige software (malicious software), deze verwijst naar elk type schadelijke software die is ontworpen om schade aan te richten aan computersystemen, netwerken of gebruikers. Het is een overkoepelende term die verschillende vormen van schadelijke software omvat, zoals virussen, wormen, Trojaanse paarden, ransomware, spyware en adware.
De onderzoekers vermoeden dat de operatoren achter de Sarwent-malware zich momenteel voorbereiden om de toegang tot getroffen systemen via de zwarte markt te verkopen, zo meldt ZDNet.
Sarwent is een minder bekende trojan, die evenwel al sinds 2018 de ronde doet. Eerdere versies van de malware waren eerder beperkt in hun mogelijkheden. De versie die SentinelOne heeft ontdekt, introduceert twee kritieke nieuwe functies.
Ten eerste is Sarwent voortaan in staat om custom CLI-opdrachten uit te voeren in Opdrachtprompt en PowerShell. Daarnaast registreert de malware ook een nieuw Windows-gebruikersaccount op elke geïnfecteerde host, die de RDP-service inschakelt en de firewall-instellingen aanpast om externe toegang mogelijk te maken.
Voorlopig is de verspreiding van Sarwent nog eerder beperkt, vertelt Jason Reaves, malware-analist bij SentinelOne, aan ZDNet. Tot nu toe zag zijn team de trojan alleen op geïnfecteerde systemen opduiken als onderdeel van een andere malware.
Het opkuisen van een besmetting vergt daardoor verschillende stappen: naast Sarwent moet ook de originele malware worden verwijderd, evenals de nieuw aangemaakte Windows-gebruiker. Tot slot moet ook de RDP-poort op de firewall weer worden gesloten.
Op zoek naar een externe partner voor al je IT-troubles?
ProCom geeft je eerlijke en integrale computerhulp. Herstelling, cloud migratie of nieuwe hardware. ProCom helpt je verder. Of het nu gaat over je VOIP telefonie, servers en netwerken, je website of het verhuizen van jouw lokale bedrijfsapplicaties naar de Cloud. Wij kijken vooruit en denken met je mee. ProCom is born to let IT run.
