Una nuova versione del malware Sarwent può aprire la porta RDP (Remote Desktop Protocol) sui computer Windows per assicurarsi che i truffatori possano entrare nel sistema attraverso la backdoor.
Questa nuova variante ora può anche:
- Eseguire i comandi tramite il prompt dei comandi di Windows e PowerShell
- Crea un nuovo account utente di Windows, abilita il servizio RDP e apporta le modifiche al firewall di Windows in modo che sia consentito l’accesso RDP alla macchina infetta
La rimozione del malware dal computer infetto non chiuderà automaticamente il “buco” RDP. Utenti, amministratori o “pulitori” a pagamento devono anche rimuovere l’account utente impostato dal malware e chiudere la porta di accesso RDP nel firewall. L’accesso alle reti e ai sistemi aziendali viene regolarmente venduto su forum e dark web.
