Σύμφωνα με μια νέα αποκάλυψη, κάποιοι hackers εκμεταλλεύονται νόμιμη υπηρεσία RDP και χρησιμοποιούν fileless τεχνικές για την ανάπτυξη διάφορων κακόβουλων payloads (από ransomware έως cryptocurrency miners).
Η απομακρυσμένη επιφάνεια εργασίας (Remote Desktop) χρησιμοποιείται συχνά από κυβερνοεγκληματίες για την πραγματοποίηση επιθέσεων.
Κατάχρηση του Remote Desktop Server
Σύμφωνα με τους ερευνητές της Bitdefender, οι hackers εκμεταλλεύονται το Windows Remote Desktop Server και εγκαθιστούν στο σύστημα του θύματος ένα κακόβουλο στοιχείο, που ονομάζεται worker.exe και μπορεί να εκτελεστεί μέσω explorer.exe ή cmd.exe.
Το worker.exe μπορεί να επιτρέψει την εκτέλεση μιας σειράς εντολών που περιλαμβάνουν τη συλλογή διαφόρων πληροφοριών συστήματος: στοιχεία αρχιτεκτονικής, μοντέλο CPU, πυρήνας, μέγεθος RAM, έκδοση των Windows. Ακόμα, επιτρέπει τη λήψη screenshots, τη συλλογή της διεύθυνσης IP, του domain του θύματος και άλλων πληροφοριών του browser.
Ανάπτυξη κακόβουλων payloads
Αφού οι hackers συλλέξουν τις παραπάνω πληροφορίες για τα μηχανήματα των θυμάτων, αποφασίζουν τι είδους κακόβουλο payload θα αναπτύξουν. Για παράδειγμα, αν πρόκειται για εταιρικό δίκτυο, τότε πιθανότατα θα επιλέξουν να επιτεθούν με ένα ransomware.
Οι ερευνητές ανακάλυψαν ότι στη συγκεκριμένη εκστρατεία χρησιμοποιούνται διάφορα κακόβουλα payloads: clipboard stealer payloads, cryptocurrency miners, ransomware miner payloads και AZORult payloads.
Σύμφωνα με τους ερευνητές, η hacking εκστρατεία στοχεύει θύματα σε όλο τον κόσμο. Ωστόσο, τα περισσότερα από τα θύματα προέρχονται από τη Βραζιλία, τις Ηνωμένες Πολιτείες και τη Ρουμανία. Επίσης, οι hackers δεν στοχεύουν συγκεκριμένες βιομηχανίες αλλά προσπαθούν να επιτεθούν σε όσο το δυνατόν περισσότερα θύματα.
Ένας από τους πιο συνηθισμένους τύπους payloads, σε αυτή την εκστρατεία, είναι τα miners. “Τα miners χρησιμοποιούνταν από τον Απρίλιο του 2018 και νωρίτερα, αλλά έκτοτε έχει χρησιμοποιηθεί μια μεγάλη ποικιλία εργαλείων, ειδικά κατά τους πρώτους μήνες του 2019”, είπαν οι ερευνητές.
