Хакери можуть пограбувати ваш комп’ютер без жодних слідів за допомогою служб RDP. Ось як захистити себе

Служби віддаленого робочого столу Windows дозволяють користувачам надавати спільний доступ до локальних дисків серверу терміналів з дозволами на читання та запис у віртуальній мережі «tsclient» (+ буква диска).

Під час віддаленого з’єднання кіберзлочинці можуть передавати майнері криптовалюти, крадіжки інформації та програми-вимагачі; і оскільки він знаходиться в RAM, вони можуть робити це, не залишаючи жодних слідів.

З лютого 2018 року хакери користуються перевагами компонента worker.exe, надсилаючи його разом із коктейлями шкідливих програм для збору наступних системних даних.

• Інформація про систему: архітектура, модель процесора, кількість ядер, розмір оперативної пам’яті, версія Windows
• доменне ім’я, привілеї зареєстрованого користувача, список користувачів на комп’ютері
• локальна IP-адреса, швидкість завантаження та завантаження, загальнодоступна інформація про IP, яку повертає служба ip-score.com
• браузер за замовчуванням, статус певних портів на хості, перевірка запущених серверів і прослуховування їх порту, конкретні записи в кеші DNS (в основному, якщо він намагався підключитися до певного домену)
• перевірка того, чи запущені певні процеси, наявність певних ключів і значень у реєстрі

Крім того, компонент має можливість робити знімки екрана та перераховувати всі підключені мережеві спільні ресурси, які відображаються локально.

Як повідомляється, «worker.exe» виконував щонайменше три окремі викрадачі буфера обміну, включаючи MicroClip, DelphiStealer та IntelRapid; а також два сімейства програм-вимагачів – Rapid, Rapid 2.0 і Nemty, а також багато майнерів криптовалюти Monero на основі XMRig. З 2018 року він також використовує викрадач інформації AZORult.

Викрадачі буфера обміну працюють, замінюючи адресу гаманця криптовалюти користувача на адресу хакера, тобто вони отримають усі наступні кошти. Навіть найстаражніших користувачів можна обдурити за допомогою «складного механізму оцінки», який перебирає понад 1,300 адрес, щоб знайти підроблені адреси, початок і кінець яких ідентичні адресам жертви.

За оцінками, викрадачі буфера обміну принесли близько 150,000 XNUMX доларів, хоча насправді ця цифра, безсумнівно, набагато вища.

«З огляду на нашу телеметрію, ці кампанії, здається, не націлені на певні галузі, а намагаються охопити якомога більше жертв», – Bitdefender

На щастя, можна вжити запобіжних заходів, які захистять вас від такого типу атак. Це можна зробити, увімкнувши переспрямування диска зі списку групових політик. Опція доступна за цим шляхом в аплеті конфігурації комп’ютера:

Конфігурація комп'ютера > Адміністративні шаблони > Компоненти Windows > Служби віддаленого робочого стола > Хост сеансу віддаленого робочого стола > Перенаправлення пристроїв і ресурсів

Детальніше про атаки читайте за посиланням bleedingcomputer тут.

за допомогою: техдатор