Τρίτη, 27 Οκτωβρίου, 16:28
Αρχική security Hackers καταχρώνται RDP υπηρεσία και εγκαθιστούν κακόβουλα payloads

Hackers καταχρώνται RDP υπηρεσία και εγκαθιστούν κακόβουλα payloads

payloadsΣύμφωνα με μια νέα αποκάλυψη, κάποιοι hackers εκμεταλλεύονται νόμιμη υπηρεσία RDP και χρησιμοποιούν fileless τεχνικές για την ανάπτυξη διάφορων κακόβουλων payloads (από ransomware έως cryptocurrency miners).

Η απομακρυσμένη επιφάνεια εργασίας (Remote Desktop) χρησιμοποιείται συχνά από κυβερνοεγκληματίες για την πραγματοποίηση επιθέσεων.

Κατάχρηση του Remote Desktop Server

Σύμφωνα με τους ερευνητές της Bitdefender, οι hackers εκμεταλλεύονται το Windows Remote Desktop Server και εγκαθιστούν στο σύστημα του θύματος ένα κακόβουλο στοιχείο, που ονομάζεται worker.exe και μπορεί να εκτελεστεί μέσω explorer.exe ή cmd.exe.

Το worker.exe μπορεί να επιτρέψει την εκτέλεση μιας σειράς εντολών που περιλαμβάνουν τη συλλογή διαφόρων πληροφοριών συστήματος: στοιχεία αρχιτεκτονικής, μοντέλο CPU, πυρήνας, μέγεθος RAM, έκδοση των Windows. Ακόμα, επιτρέπει τη λήψη screenshots, τη συλλογή της διεύθυνσης IP, του domain του θύματος και άλλων πληροφοριών του browser.

Ανάπτυξη κακόβουλων payloads

Αφού οι hackers συλλέξουν τις παραπάνω πληροφορίες για τα μηχανήματα των θυμάτων, αποφασίζουν τι είδους κακόβουλο payload θα αναπτύξουν. Για παράδειγμα, αν πρόκειται για εταιρικό δίκτυο, τότε πιθανότατα θα επιλέξουν να επιτεθούν με ένα ransomware.

Οι ερευνητές ανακάλυψαν ότι στη συγκεκριμένη εκστρατεία χρησιμοποιούνται διάφορα κακόβουλα payloads: clipboard stealer payloads, cryptocurrency miners, ransomware miner payloads και AZORult payloads.

Σύμφωνα με τους ερευνητές, η hacking εκστρατεία στοχεύει θύματα σε όλο τον κόσμο. Ωστόσο, τα περισσότερα από τα θύματα προέρχονται από τη Βραζιλία, τις Ηνωμένες Πολιτείες και τη Ρουμανία. Επίσης, οι hackers δεν στοχεύουν συγκεκριμένες βιομηχανίες αλλά προσπαθούν να επιτεθούν σε όσο το δυνατόν περισσότερα θύματα.

Ένας από τους πιο συνηθισμένους τύπους payloads, σε αυτή την εκστρατεία, είναι τα miners. “Τα miners χρησιμοποιούνταν από τον Απρίλιο του 2018 και νωρίτερα, αλλά έκτοτε έχει χρησιμοποιηθεί μια μεγάλη ποικιλία εργαλείων, ειδικά κατά τους πρώτους μήνες του 2019”, είπαν οι ερευνητές.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Πως να ενεργοποιήσετε τη νέα μυστική λειτουργία Read more του Chrome

Η τελευταία έκδοση του προγράμματος περιήγησης Google Chrome, v86, που κυκλοφόρησε νωρίτερα αυτό το μήνα, περιέχει ένα μυστικό χαρακτηριστικό που ονομάζεται Read...

Πως να επιλέξετε ένα προσαρμοσμένο χρώμα για το Start menu

Ξεκινώντας από την ενημέρωση του Οκτωβρίου 2020, τα Windows 10 είναι προεπιλεγμένα σε ένα θέμα που αφαιρεί τα έντονα χρώματα από τη...

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...

Αυστραλία: Ενισχύει την κυβερνοασφάλεια και την προστασία απορρήτου!

Η κυβέρνηση της Νέας Νότιας Ουαλίας στην Αυστραλία έχει δημιουργήσει μια ειδική ομάδα, με στόχο να ενισχύσει την κυβερνοασφάλεια και την προστασία...

Πάνω από 100 συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο

Πάνω από 100 έξυπνα συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο χωρίς κωδικό πρόσβασης τον περασμένο μήνα, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση...

Παραβίαση στη Nitro Software επηρεάζει πιθανότατα Google, Apple, Microsoft

Η υπηρεσία Nitro PDF (της Nitro Software) υπέστη μια παραβίαση δεδομένων, η οποία λέγεται ότι επηρεάζει πολλές γνωστές εταιρείες, όπως η Google,...

Χάκερ κλέβει 24 εκατ. $ από την υπηρεσία cryptocurrency Harvest Finance

Ένας χάκερ έχει κλέψει «cryptocurrency assets» αξίας περίπου 24 εκατομμυρίων δολαρίων από την υπηρεσία αποκεντρωμένης χρηματοδότησης (DeFi) Harvest Finance, μια διαδικτυακή πύλη...