کمیته رکن چهارم – اخیراً محققان امنیتی نسخه جدیدی از بدافزارهای ویندوزی را شناسایی کرده اند که پورت های RDP روی رایانه های شخصی ویندوز را برای گرفتن دسترسی از راه دور باز می کند. این محققان عنوان کردند که نسخه جدیدی از بدافزارهای ویندوزی با نام “Sarwent” شناسایی شده که از سال ۲۰۱۸ مورد استفاده هکر ها قرار می گرفته است.
بدافزار “Sarwent” شناسایی شده به طور کاملا جدی مورد توجه بسیاری از کارشناسان امنیتی قرار گرفته است. محقق امنیتی، Vitali Kremez، در توئیتی عنوان داشته: این بدافزار در ابتدای سال جاری میلادی شناسایی شده و فعلا اطلاعات زیادی از آن در دسترس نیست.
کارشناسان امنیتی هنوز به این نتیجه نرسیده اند که دقیقاً نحوه توزیع Sarwent چگونه است اما این احتمال وجود دارد که از طریق سایر بدافزارها منتقل می شود. جدای از این موارد، محققان این احتمال را می دهند که توسعه دهندگان بدافزار Sarwent ممکن است سیستم های تحت نفوذ را در تالارهای هکری به فروش برسانند. (یکی از متداولترین روش های کسب درآمد از میزبان های دارای قابلیت RDP )
کارایی بدافزار Sarwent
بدافزارهای Sarwent هنوز توسط هکرها بطور فعال تولید و استفاده می شوند، اما با دستورات جدید و تمرکز روی پروتکل دسکتاپ از راه دور (RDP). دلیل توانمندی نسخه جدید Sarwent اجرای دستورات سفارشی CLI از طریق برنامه های Windows Command Prompt و PowerShell است.
کارشناسان امنیتی در تازه ترین اظهارات خود مدعی هستند که بدافزار Sarwent آپشن تازه ایی را با بروزرسانی جدید دریافت کرده است و این امکان وجود دارد که یک اکانت کاربری جدید Windows در هر میزبان آلوده رجیستر کند.
هنگامی که Sarwent روی یک سیستم فعال است، یک اکانت کاربری جدید Windows ایجاد می کند، Firewall را ویرایش می کند و سپس پورت های RDP را باز می کند.
مهاجمان می توانند از اکانت جدید ویندوزی ایجاد شده بر روی سیستم آلوده بهره برداری کنند تا بدون اینکه توسط فایروال ویندوز مسدود شوند به هاست دسترسی پیدا کنند .
پس از اجرای موفق تمامی مراحل گفته شده، اپراتورهای موجود در پشت بدافزار Sarwent می توانند از دسترسی RDP برای سرقت داده های اختصاصی یا نصب باج افزار استفاده کنند یا می توانند دسترسی RDP را به سایر هکرها اجاره دهند.
منبع: سایبربان