ハッカーは RDP サービスを使用して、痕跡を残さずに PC を買収することができます - 自分の身を守る方法は次のとおりです

Windowsリモートデスクトップサービスを使用すると、ユーザーは、仮想ネットワークの場所「tsclient」（+ドライブの文字）の下で、読み取りおよび書き込み権限を持つターミナルサーバーとローカルドライブを共有できます。

リモート接続の下で、サイバー犯罪者は暗号通貨マイナー、情報スティーラー、ランサムウェアを与えることができます。 また、RAMにあるため、フットプリントを残さずに実行できます。

2018年XNUMX月以降、ハッカーは「worker.exe」コンポーネントを利用して、マルウェアカクテルと一緒に送信し、次のシステムの詳細を収集しています。

• システム情報：アーキテクチャ、CPUモデル、コア数、RAMサイズ、Windowsバージョン
• ドメイン名、ログに記録されたユーザーの特権、マシン上のユーザーのリスト
• ローカルIPアドレス、アップロードとダウンロードの速度、ip-score.comサービスから返されるパブリックIP情報
• デフォルトのブラウザ、ホスト上の特定のポートのステータス、実行中のサーバーの確認とそのポートでのリッスン、DNSキャッシュ内の特定のエントリ（主に特定のドメインに接続しようとした場合）
• 特定のプロセスが実行されているかどうか、レジストリに特定のキーと値が存在するかどうかを確認します

さらに、コンポーネントには、スクリーンショットを撮り、ローカルにマップされているすべての接続されたネットワーク共有を列挙する機能があります。

「worker.exe」は、MicroClip、DelphiStealer、IntelRapidを含む少なくとも2.0つのクリップボードスティーラーを実行していると報告されています。 また、2018つのランサムウェアファミリ（Rapid、Rapid XNUMX、Nemty、およびXMRigに基づく多くのMonero暗号通貨マイナー）もあります。 XNUMX年以降、AZORultinfo-stealerも使用しています。

クリップボードスティーラーは、ユーザーの暗号通貨ウォレットアドレスをハッカーのアドレスに置き換えることで機能します。つまり、後続のすべての資金を受け取ることになります。 最も勤勉なユーザーでさえ、「複雑なスコアリングメカニズム」にだまされる可能性があります。このメカニズムは、1,300を超えるアドレスを選別して、被害者の開始と終了が同じである偽のアドレスを見つけます。

クリップボードスティーラーは約150,000ドルを生み出したと推定されていますが、この数字は間違いなく実際にははるかに高いものです。

「私たちのテレメトリから、これらのキャンペーンは特定の業界をターゲットにしていないようで、代わりにできるだけ多くの犠牲者にリーチしようとしています」– Bitdefender

幸いなことに、この種の攻撃からあなたを守るための予防措置を講じることができます。 これは、グループポリシーのリストからドライブリダイレクトを有効にすることで実行できます。 このオプションは、コンピューター構成アプレットで次のパスをたどることで使用できます。

コンピューターの構成>管理用テンプレート> Windowsコンポーネント>リモートデスクトップサービス>リモートデスクトップセッションホスト>デバイスとリソースのリダイレクト

攻撃の詳細については、をご覧ください。 ピーという音がするコンピュータ ページ をご覧ください

介しました： テクデター