Les pirates peuvent pirater votre PC sans laisser de trace grâce aux services RDP : voici comment vous sécuriser

Accueil » Microsoft

Icône de temps de lecture 2 minute. lis

Icône de calendrier Mis à jour le

by Atiya Davids 

mis à jour le

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Les services Bureau à distance de Windows permettent aux utilisateurs de partager des lecteurs locaux sur un serveur Terminal Server avec des autorisations de lecture et d'écriture, sous l'emplacement du réseau virtuel « tsclient » (+ la lettre du lecteur).

Dans le cadre d'une connexion à distance, les cybercriminels peuvent transmettre des mineurs de crypto-monnaie, des voleurs d'informations et des rançongiciels ; et comme c'est dans la RAM, ils peuvent le faire sans laisser d'empreintes derrière eux.

Depuis février 2018, les pirates profitent du composant 'worker.exe', l'envoyant avec des cocktails de logiciels malveillants pour collecter les détails système suivants.

  • Informations système : architecture, modèle de processeur, nombre de cœurs, taille de la RAM, version de Windows
  • nom de domaine, privilèges de l'utilisateur connecté, liste des utilisateurs sur la machine
  • adresse IP locale, vitesse de chargement et de téléchargement, informations IP publiques telles que renvoyées par le service ip-score.com
  • navigateur par défaut, état de ports spécifiques sur l'hôte, vérification des serveurs en cours d'exécution et écoute sur leur port, entrées spécifiques dans le cache DNS (principalement s'il a essayé de se connecter à un certain domaine)
  • vérifier si certains processus sont en cours d'exécution, existence de clés et de valeurs spécifiques dans le registre

De plus, le composant a la capacité de prendre des captures d'écran et d'énumérer tous les partages réseau connectés qui sont mappés localement.

"worker.exe" aurait exécuté au moins trois voleurs de presse-papiers distincts, dont MicroClip, DelphiStealer et IntelRapid ; ainsi que deux familles de rançongiciels - Rapid, Rapid 2.0 et Nemty, et de nombreux mineurs de crypto-monnaie Monero basés sur XMRig. Depuis 2018, il utilise également le voleur d'informations AZORult.

Les voleurs de presse-papiers fonctionnent en remplaçant l'adresse du portefeuille de crypto-monnaie d'un utilisateur par celle du pirate, ce qui signifie qu'il recevra tous les fonds ultérieurs. Même les utilisateurs les plus assidus peuvent être trompés par le "mécanisme de notation complexe", qui passe au crible plus de 1,300 XNUMX adresses pour trouver de fausses adresses, dont le début et la fin sont identiques à ceux de la victime.

On estime que les voleurs de presse-papiers ont rapporté environ 150,000 XNUMX $ - bien que ce chiffre soit sans aucun doute beaucoup plus élevé en réalité.

"D'après notre télémétrie, ces campagnes ne semblent pas cibler des industries spécifiques, essayant plutôt d'atteindre autant de victimes que possible" - Bitdefender

Heureusement, des mesures de précaution peuvent être prises, ce qui vous protégera contre ce type d'attaque. Cela peut être fait en activant la redirection de lecteur à partir d'une liste de stratégies de groupe. L'option est disponible en suivant ce chemin dans l'applet de configuration de l'ordinateur :

Configuration ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de session Bureau à distance > Redirection de périphérique et de ressource

En savoir plus sur les attaques en détail sur bleepingcomputer ici.

via: technicien 

En savoir plus sur les sujets : pirate

Atiya Davids

Atiya Davids bouclier

Journaliste