Una nueva amenaza usa los puertos del escritorio remoto de Windows

Una nueva amenaza usa los puertos del escritorio remoto de Windows

Javier Jiménez

Los ciberdelincuentes buscan siempre la manera de intentar atacar a los usuarios. Se aprovechan de posibles vulnerabilidades, por ejemplo. Tienen en cuenta fallos que pueda haber en determinados protocolos, servicios o aplicaciones que utilice la víctima. Hoy nos hacemos eco de cómo los piratas informáticos abusan de los puertos abiertos del escritorio remoto de Windows para utilizar un malware de puerta trasera.

Nueva amenaza que afecta a Windows a través del RDP

Esta nueva amenaza de la que nos hacemos eco se aprovecha del RDP (escritorio remoto) para atacar a la víctima. Concretamente lo que hace es abrir los puertos para en un futuro poder obtener acceso remoto. Este malware es conocido como Sarwent.

Sarwent ha sido descubierto por un grupo de investigadores de seguridad de SentinelOne. Se trata de una nueva versión que está siendo analizada.

De momento los expertos en seguridad también han aclarado que aún no se ha confirmado exactamente cómo se distribuye Sarwent. Creen que es posible que esto suceda a través de otro malware. Además, las versiones anteriores de Sarwent se desarrollaron para instalar malware adicional en equipos comprometidos.

Además de esto, los responsables del malware Sarwent probablemente estén usando esta amenaza para vender acceso a estos sistemas comprometidos en los portales y foros de los piratas informáticos. Hay que tener en cuenta que es uno de los métodos más comunes para monetizar los hosts con capacidad RDP.

Ataque utiliza el escritorio remoto de Windows

Sarwent puede robar datos de los usuarios

Como decimos, el malware Sarwent está enfocado en el escritorio remoto de Windows. La nueva versión de Sarwent destaca por su capacidad de ejecutar comandos personalizados de CLI a través del símbolo del sistema de Windows y las utilidades de PowerShell.

Además, los expertos en seguridad han afirmado que Sarwent también recibió otra nueva característica con la actualización, y es la capacidad de registrar una nueva cuenta de usuario de Windows en cada host infectado.

Una vez que Sarwent está activo en un sistema, el malware crea una nueva cuenta de usuario de Windows, modifica el firewall y luego abre los puertos RDP. Esto significa que los atacantes podrán usar el nuevo usuario de Windows que crearon en el sistema infectado para acceder al host sin ser bloqueado por el firewall de Windows.

Los investigadores de seguridad indican que esto se hace para obtener acceso remoto futuro en el sistema comprometido. Esto puede involucrar a los propios atacantes, pero el investigador no descarta la posibilidad de que el acceso del PDR se revenda a otros delincuentes.

Podrían utilizar este acceso para usos muy variados. Por ejemplo podrían robar datos, colar ransomware, alquilar el acceso a ese escritorio remoto a otros ciberdelincuentes, etc.

Es muy importante que siempre mantengamos los equipos correctamente actualizados. En ocasiones pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para desplegar sus ataques. Por suerte los propios desarrolladores suelen lanzar parches y actualizaciones de seguridad para corregir los fallos. Es vital que siempre tengamos instaladas las últimas versiones y así poder asegurar nuestros equipos.

Os dejamos un artículo con consejos para mejorar la seguridad en Windows Defender.