Los piratas informáticos están explotando el RDP de Microsoft para ataques de malware de archivo

Aunque el servicio RDP está configurado para un propósito crucial de la comunicación en red, la mayoría de los usuarios no lo usan, de hecho, no todos lo necesitan. Los piratas informáticos explotan estas vulnerabilidades en los RDP no activados para robar volcados de malware, minería de criptomonedas, ransomware, etc. Aquí está la historia de un nuevo grupo que realiza las tres actividades de forma activa.

Aprovechamiento de las funciones de RDS

Los servicios de escritorio remoto (RDP) ayudan a compartir recursos entre sistemas (clientes) en una red. Esto sucede cuando un cliente se conecta a un servidor terminal a través de RDP que le permite leer y escribir en otros y viceversa.

Las unidades (clientes) aparecen en la red del servidor con el nombre «tsclient”Seguido de la letra de la unidad, para ubicar la unidad localmente más tarde. Siempre que alguien acceda a los recursos de otros clientes, ¡no quedará ningún rastro en ninguna parte como lo haría en la RAM! que se elimina una vez finalizada la sesión.

Los piratas informáticos están explotando el RDP de Microsoft para ataques de malware de archivo
Imagen de https://bit.ly/2Q9KgdM

Los investigadores de Bitdefender han descubierto que pocos atacantes aprovechan esta función y eliminan sistemas vulnerables. Se encuentran descargando malware, ransomware y herramientas de minería de criptomonedas para utilizar los recursos de la víctima de todas las formas posibles. Una metodología reciente incluye la configuración de un componente llamado worker.exe, que rastrea los datos y el uso del usuario. Los siguientes activos son creados por este malware.

  • Recopilación de información del sistema, como arquitectura, modelo de CPU, número de núcleos, tamaño de RAM, versión de Windows.
  • Conozca el nombre de dominio, los privilegios del usuario que inició sesión, la lista de usuarios en la máquina.
  • Recopilación de la dirección IP local, velocidad de carga y descarga, información de IP pública devuelta por el servicio ip-score.com.
  • Evaluar el navegador predeterminado para conocer el estado de puertos específicos en el host, verificar servidores en ejecución y escuchar en sus puertos entradas específicas en la caché de DNS.
  • Verificación activa de determinados procesos para conocer los tiempos de ejecución, la existencia de claves y valores específicos en el registro.

Además, tome capturas de pantalla y mencione las acciones compartidas localmente. Todos los datos recopilados se transfieren a unArchivo .NFO que se almacena en el propio archivo de configuración, para dificultar la evaluación forense más adelante.

Además de espiar todos estos datos, worker.exe opera tres ladrones de datos desde el portapapeles como MicroClip, DelphiStealer, y IntelRapid; archivos de ransomware como Rápido / Rápido 2.0 y Nemty; Los mineros de criptomonedas Monero y el AZORult ladrón de información. Se encontraron en el recurso compartido de red tsclient y se sabe que reciben instrucciones de un archivo de piratas informáticos llamado «config.ins”En lugar de C2 estándar (servidor de comando y control).

Todo tiene un propósito

Aunque las herramientas de minería de criptomonedas se utilizan para acuñar monedas utilizando los recursos de las víctimas, luego se transfieren a la billetera del pirata informático, como se mencionó. Además, el pirata informático también está ganando al cambiar la dirección de destino de la transacción de criptomonedas de la víctima. Aquí, los ladrones de portapapeles espían activamente y reemplazan la dirección de destino cada vez que la víctima intenta enviar monedas a alguien.

Además, esta actividad se vuelve creativa utilizando el «Mecanismo de puntuación complejo»donde uno IntelRapid El malware se utiliza para reemplazar la dirección de destino de una manera más creativa, haciendo coincidir el primer o último carácter de la dirección. Esto engaña a las víctimas que son lo suficientemente perezosas para verificar la dirección de destino real. De esa forma, los hackers que calculé ganaron al menos $ 150 000 en valor, excluyendo las monedas Monero y otro malware / rescate.

Apuntar y defender

Resultó que estos piratas informáticos no están apuntando a empresas o personas específicas, sino a todas las personas vulnerables, la mayoría procedentes de Rumanía, Estados Unidos y Brasil.

Bitdefender dijo, «Debido a nuestra telemetría, estas campañas no parecen dirigirse a sectores específicos, en lugar de intentar llegar al mayor número de víctimas posible».

Aunque estos son indetectables la mayor parte del tiempo, un usuario puede intentar defender deshabilitar la redirección del portapapeles opción disponible en la configuración del sistema como Configuración del equipo> Plantillas administrativas> Componentes de Windows> Servicios de escritorio remoto> Host de sesión de escritorio remoto> Redirección de recursos y dispositivos

Fuente: BleepingComputadora