Beveiligingsonderzoekers van SentinelOne hebben een nieuwe versie van de Sarwent-malware ontdekt, die de RDP-poorten op besmette computers openzet om aanvallers vanop afstand toegang te geven tot het systeem.
De onderzoekers vermoeden dat de operatoren achter de Sarwent-malware zich momenteel voorbereiden om de toegang tot getroffen systemen via de zwarte markt te verkopen, zo meldt ZDNet.
Sarwent is een minder bekende trojan, die evenwel al sinds 2018 de ronde doet. Eerdere versies van de malware waren eerder beperkt in hun mogelijkheden. De versie die SentinelOne heeft ontdekt, introduceert twee kritieke nieuwe functies.
Ten eerste is Sarwent voortaan in staat om custom CLI-opdrachten uit te voeren in Opdrachtprompt en PowerShell. Daarnaast registreert de malware ook een nieuw Windows-gebruikersaccount op elke geïnfecteerde host, die de RDP-service inschakelt en de firewall-instellingen aanpast om externe toegang mogelijk te maken.
Voorlopig is de verspreiding van Sarwent nog eerder beperkt, vertelt Jason Reaves, malware-analist bij SentinelOne, aan ZDNet. Tot nu toe zag zijn team de trojan alleen op geïnfecteerde systemen opduiken als onderdeel van een andere malware.
Het opkuisen van een besmetting vergt daardoor verschillende stappen: naast Sarwent moet ook de originele malware worden verwijderd, evenals de nieuw aangemaakte Windows-gebruiker. Tot slot moet ook de RDP-poort op de firewall weer worden gesloten.