Sarwent

¿Qué es?

Sarwent es un malware de tipo troyano de acceso remoto (RAT) con capacidades de backdoor que se enfoca en infectar dispositivos Windows para controlarlos remotamente y realizar actividades maliciosas. Además, puede proporcionar una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

Accede y roba la información de los dispositivos infectados, como credenciales de usuario y datos del sistema.
Permite a los atacantes tomar el control de los dispositivos afectados remotamente.
Permite ejecutar comandos arbitraros por los atacantes en los dispositivos afectados.
Crea usuarios en los sistemas comprometidos.
Establece conexiones remotas a través de VNC (Computación Virtual en Red).
Abre puertos para la establecer conexiones RDP con los dispositivos infectados.
Crea puertas traseras para permitir el control remoto de los dispositivos comprometidos.
Utiliza conexiones a servidores de mando y control (C2) para enviar datos robados y recibir instrucciones adicionales.
Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos, como ransomware o programas espías (spyware).
Deshabilita la protección antivirus del dispositivo infectado.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing por correo electrónico con archivos adjuntos maliciosos, a través de la explotación de vulnerabilidades en software sin actualizar y a través de descargas maliciosas en sitios web comprometidos.