Οι χάκερ μπορούν να ενεργοποιήσουν τον υπολογιστή σας χωρίς να αφήσουν ίχνη χρησιμοποιώντας υπηρεσίες RDP - δείτε πώς να ασφαλίσετε τον εαυτό σας

Εικονίδιο ώρας ανάγνωσης 2 λεπτό. ανάγνωση


Οι αναγνώστες βοηθούν στην υποστήριξη του MSpoweruser. Ενδέχεται να λάβουμε προμήθεια εάν αγοράσετε μέσω των συνδέσμων μας. Εικονίδιο επεξήγησης εργαλείου

Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα

Οι Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας των Windows επιτρέπουν στους χρήστες να μοιράζονται τοπικές μονάδες δίσκου σε έναν Terminal Server με δικαιώματα ανάγνωσης και εγγραφής, στην τοποθεσία εικονικού δικτύου "tsclient" (+ το γράμμα της μονάδας δίσκου).

Κάτω από απομακρυσμένη σύνδεση, οι εγκληματίες του κυβερνοχώρου μπορούν να μεταδώσουν εξορύκτες κρυπτονομισμάτων, κλέφτες πληροφοριών και ransomware. και δεδομένου ότι είναι στη μνήμη RAM, μπορούν να το κάνουν χωρίς να αφήσουν ίχνη πίσω τους.

Από τον Φεβρουάριο του 2018, οι χάκερ εκμεταλλεύονται το στοιχείο «worker.exe», στέλνοντάς το μαζί με κοκτέιλ κακόβουλου λογισμικού για να συλλέξουν τις ακόλουθες λεπτομέρειες συστήματος.

  • Πληροφορίες συστήματος: αρχιτεκτονική, μοντέλο CPU, αριθμός πυρήνων, μέγεθος RAM, έκδοση Windows
  • όνομα τομέα, δικαιώματα του συνδεδεμένου χρήστη, λίστα χρηστών στο μηχάνημα
  • τοπική διεύθυνση IP, ταχύτητα μεταφόρτωσης και λήψης, δημόσιες πληροφορίες IP όπως επιστρέφονται από την υπηρεσία ip-score.com
  • προεπιλεγμένο πρόγραμμα περιήγησης, κατάσταση συγκεκριμένων θυρών στον κεντρικό υπολογιστή, έλεγχος για εκτελούμενους διακομιστές και ακρόαση στη θύρα τους, συγκεκριμένες καταχωρήσεις στην κρυφή μνήμη DNS (κυρίως εάν προσπάθησε να συνδεθεί σε συγκεκριμένο τομέα)
  • έλεγχος εάν εκτελούνται ορισμένες διεργασίες, ύπαρξη συγκεκριμένων κλειδιών και τιμών στο μητρώο

Επιπλέον, το στοιχείο έχει τη δυνατότητα λήψης στιγμιότυπων οθόνης και απαρίθμησης όλων των συνδεδεμένων κοινόχρηστων στοιχείων δικτύου που έχουν αντιστοιχιστεί τοπικά.

Το "worker.exe" φέρεται να εκτελεί τουλάχιστον τρία ξεχωριστά προγράμματα κλοπής προχείρου, συμπεριλαμβανομένων των MicroClip, DelphiStealer και IntelRapid. καθώς και δύο οικογένειες ransomware - Rapid, Rapid 2.0 και Nemty, και πολλοί εξορύκτες κρυπτονομισμάτων Monero που βασίζονται στο XMRig. Από το 2018, χρησιμοποιεί επίσης το πρόγραμμα κλοπής πληροφοριών AZORult.

Οι κλέφτες του προχείρου λειτουργούν αντικαθιστώντας τη διεύθυνση πορτοφολιού κρυπτονομισμάτων ενός χρήστη με αυτή του χάκερ, που σημαίνει ότι θα λάβουν όλα τα επόμενα χρήματα. Ακόμη και οι πιο επιμελείς χρήστες μπορούν να ξεγελαστούν με τον «σύνθετο μηχανισμό βαθμολόγησης», ο οποίος περιηγείται σε περισσότερες από 1,300 διευθύνσεις για να βρει ψεύτικες διευθύνσεις, των οποίων η αρχή και το τέλος είναι πανομοιότυπα με αυτά του θύματος.

Οι κλέφτες του πρόχειρου εκτιμάται ότι απέδωσαν περίπου 150,000 $ - αν και ο αριθμός αυτός είναι αναμφίβολα πολύ υψηλότερος στην πραγματικότητα.

"Από την τηλεμετρία μας, αυτές οι καμπάνιες δεν φαίνεται να στοχεύουν συγκεκριμένες βιομηχανίες, αντίθετα προσπαθούν να προσεγγίσουν όσο το δυνατόν περισσότερα θύματα" - Bitdefender

Ευτυχώς, μπορούν να ληφθούν προληπτικά μέτρα, τα οποία θα σας προστατεύσουν από αυτού του είδους την επίθεση. Αυτό μπορεί να γίνει ενεργοποιώντας την ανακατεύθυνση μονάδας δίσκου από μια λίστα πολιτικών ομάδας. Η επιλογή είναι διαθέσιμη ακολουθώντας αυτήν τη διαδρομή στη μικροεφαρμογή ρύθμισης παραμέτρων υπολογιστή:

Διαμόρφωση υπολογιστή > Πρότυπα διαχείρισης > Στοιχεία Windows > Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας > Κεντρικός υπολογιστής συνεδρίας απομακρυσμένης επιφάνειας εργασίας > Ανακατεύθυνση συσκευής και πόρων

Διαβάστε περισσότερα για τις επιθέσεις αναλυτικά στο ηλεκτρονικό υπολογιστή εδώ.

μέσω: τεχνικός 

φόρουμ χρηστών

μηνύματα 0