Los piratas informáticos pueden piratear su PC sin dejar rastro utilizando los servicios RDP: aquí le mostramos cómo protegerse

Inicio » Microsoft

Icono de tiempo de lectura 2 minuto. leer

Icono de calendario Actualizado en

by Atiya Davids 

actualizado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

Los servicios de escritorio remoto de Windows permiten a los usuarios compartir unidades locales en un servidor de terminales con permisos de lectura y escritura, en la ubicación de red virtual "tsclient" (+ la letra de la unidad).

Bajo conexión remota, los ciberdelincuentes pueden impartir mineros de criptomonedas, ladrones de información y ransomware; y como está en la RAM, pueden hacerlo sin dejar huellas.

Desde febrero de 2018, los piratas informáticos se han aprovechado del componente 'worker.exe', enviándolo junto con cócteles de malware para recopilar los siguientes detalles del sistema.

  • Información del sistema: arquitectura, modelo de CPU, número de núcleos, tamaño de RAM, versión de Windows
  • nombre de dominio, privilegios del usuario registrado, lista de usuarios en la máquina
  • dirección IP local, velocidad de carga y descarga, información de IP pública devuelta por el servicio from ip-score.com
  • navegador predeterminado, estado de puertos específicos en el host, verificación de servidores en ejecución y escucha en su puerto, entradas específicas en el caché de DNS (principalmente si intentó conectarse a un dominio determinado)
  • verificar si ciertos procesos se están ejecutando, existencia de claves y valores específicos en el registro

Además, el componente tiene la capacidad de tomar capturas de pantalla y enumerar todos los recursos compartidos de red conectados que están asignados localmente.

Según los informes, "worker.exe" ha estado ejecutando al menos tres ladrones de portapapeles separados, incluidos MicroClip, DelphiStealer e IntelRapid; así como dos familias de ransomware: Rapid, Rapid 2.0 y Nemty, y muchos mineros de criptomonedas Monero basados ​​en XMRig. Desde 2018, también ha estado utilizando el ladrón de información AZORult.

Los ladrones de portapapeles funcionan reemplazando la dirección de la billetera de criptomonedas de un usuario con la del pirata informático, lo que significa que recibirán todos los fondos posteriores. Incluso los usuarios más diligentes pueden ser engañados con el "mecanismo de puntuación complejo", que analiza más de 1,300 direcciones para encontrar direcciones falsas, cuyo inicio y final son idénticos a los de la víctima.

Se estima que los ladrones de portapapeles han producido alrededor de $ 150,000, aunque esta cifra es, sin duda, mucho mayor en la realidad.

“Según nuestra telemetría, estas campañas no parecen estar dirigidas a industrias específicas, sino que intentan llegar a tantas víctimas como sea posible” – Bitdefender

Afortunadamente, se pueden tomar medidas de precaución que lo protegerán contra este tipo de ataque. Esto se puede hacer habilitando la redirección de unidades desde una lista de políticas de grupo. La opción está disponible siguiendo esta ruta en el subprograma de configuración de la computadora:

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de escritorio remoto > Host de sesión de escritorio remoto > Redirección de dispositivos y recursos

Lea más sobre los ataques en detalle en computadora haga clic aquí

vía: técnico 

Más sobre los temas: pirata informático

Atiya Davids

Atiya Davids Proteccion

Noticias Reportero