تعود البرامج الضارة لنظام التشغيل Windows 2018 وتفتح RDP لمزيد من المتسللين

تكنولوجيا
تعود البرامج الضارة لنظام التشغيل Windows 2018 وتفتح RDP لمزيد من المتسللين

برنامج ضار لنظام التشغيل Windows من 2018 طليق مرة أخرى. هذه المرة يفتح الهجوم RDP لمزيد من المتسللين للتطفل.

كشف تقرير حديث لفريق من الباحثين الأمنيين عن وجود برنامج ضار لنظام التشغيل Windows يُطلق عليه اسم Sarwent. قد لا تكون البرامج الضارة المذكورة شائعة مثل الهجمات المبلغ عنها مؤخرًا ولكنها قادرة على إخماد دفاع الجهاز.

وأوضح عدوى البرمجيات الخبيثة Sarwent

أعلن فريق من الباحثين الأمنيين ، SentinelOne ، أنه اكتشف برنامج Sarwent الضار مرة أخرى. قال الفريق إن الهجوم يتم من خلال فتح بروتوكول سطح المكتب البعيد (RDP) لجهاز كمبيوتر يعمل بنظام Windows.

يمنح الوصول إلى RDP للمتسللين حرية التطفل على نظام الجهاز المصاب. سيتمكن المهاجم من عرض البرامج الضارة وتثبيتها عن بُعد.

يعتقد Jason Reaves ، الباحث في البرامج الضارة في SentinelOne ، أن Sarwent نما أقوى منذ إطلاقه في عام 2018. وأضاف ريفز أن البرنامج الضار تلقى مؤخرًا تحديثين مهمين.

عزز كلا التحديثين قدرة Sarwent على التطفل على نظام تشغيل الكمبيوتر. أعطاها التحديث الأول الوصول إلى Windows Command Prompt و PowerShell حيث ينفذ أوامر CLI مخصصة.

مباشرة بعد التحديث الأول ، تلقى Sarwent التحديث الثاني الذي لفت انتباه الباحثين الأمنيين. أوضح SentinelOne كيفية عمل آخر تحديث لـ Sarwent.

قال الباحث إن البرنامج الضار ينشئ حساب مستخدم جديدًا على نظام Windows ويسجّل الدخول ويُمكّن بروتوكول سطح المكتب البعيد. يغير إعداد جدار حماية Windows ويقلل من مستوى الأمان.

بمجرد تعديل جدار حماية Windows ، يصبح من السهل الآن على المهاجمين غزو نظام الكمبيوتر. من خلال RDP المفتوح ، يمكن للمتسللين التحكم في الجهاز المصاب واستغلاله خارجيًا.

تظل حرية المخترق في التحكم في المضيف المصاب ما دامت RPD مفتوحة. يستمر أيضًا حيث لا يوجد جدار حماية يمنع أي هجوم من البرامج الضارة.

وفي الوقت نفسه ، أكد ممثل SentinelOne للجمهور أنه لا يزال هناك توزيع محدود لبرامج Sarwent الضارة. وأضاف أن الفريق رصد الهجوم على أنه إصابة ثانوية ببرنامج ضار أساسي.

كيفية تعطيل برنامج Sarwent الضار من أجهزة الكمبيوتر التي تعمل بنظام Windows

نظرًا لأنه يعتبر إصابة ثانوية ، فإن التنظيف المباشر للبرامج الضارة يتطلب مزيدًا من العمليات. يجب على المستخدمين إزالة مصدر البرنامج الضار ، وفي هذه الحالة يكون ملف ساروينت نفسها من الجهاز.

يجب أيضًا حذف حساب Sarwent Windows ويجب إغلاق RDP مرة أخرى. قم بتعديل جدار حماية Windows وقم بتنشيط الحماية الكاملة.

الحارس واحد تبحث في احتمالات سرقة البيانات أو تثبيت برامج الفدية كأسباب لوجود Sarwent. ويمكنهم أيضًا استئجار وصول Windows RDP إلى عصابات البرامج الضارة الأخرى.

الصورة مجاملة من TheDigitalArtist / Pixabay