• TWEAK
• Computer

Din PC kan nu hackes uden at efterlade et spor

Windows Remote Desktop Services giver brugerne mulighed for at dele lokale drev til en terminalserver med læse- og skrivetilladelser under den virtuelle netværksplacering “tsclient” (+ drevets bogstav).

Under fjernforbindelse kan cyberkriminelle tilføje cryptocurrency, infostealere og ransomware; og da det er i RAM det hele foregår, kan de gøre det uden at efterlade fodspor bag sig.

Siden februar 2018 har hackere draget fordel af 'worker.exe' komponenten og sendt den sammen med malware-cocktails for at indsamle følgende systemoplysninger.

- System information: arkitektur, CPU model, antallet af cores, RAM mængde, Windows version

- Domæne navn, privilegier/rettigheder for den loggede bruger, liste over brugere på maskinen

- lokal IP-adresse, upload- og downloadhastighed, offentlig IP-information som returneres af ip-score.com-tjenesten

- Standardbrowser, status for specifikke porte på værten, kontrol af, om der kører servere og lytter til deres port/e, specifikke poster i DNS-cachen (hovedsageligt hvis den forsøgte at oprette forbindelse til et bestemt domæne)

- Kontrol af, om visse processer kører, eksistensen af specifikke nøgler og værdier i registreringsdatabasen

Derudover har hackeren muligheden for at tage screendumbs og noterer sig tilsluttede netværksenheder, der er registreret lokalt.

“Worker.exe” er angiveligt blevet udført mindst tre clipboard stealers, inklusiv MicroClip, DelphiStealer og IntelRapid; såvel som to ransomware-familier - Rapid, Rapid 2.0 og Nemty og mange Monero cryptocurrency miners baseret på XMRig.

Siden 2018 har også AZORult infostealer været i spil.

Udklipsholder-stealere fungerer ved at udskifte en brugers cryptocurrency wallet-adresse med hackerens, hvilket betyder, at de vil modtage alle efterfølgende overførsler.

“From our telemetry, these campaigns do not seem to target specific industries, instead trying to reach as many victims as possible”

– Bitdefender

Heldigvis kan der foretages forholdsregler, som vil beskytte dig mod denne type angreb. Dette kan gøres ved at aktivere omdirigering af drev fra en liste over group policies. Indstillingen er tilgængelig ved at følge denne sti:

Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection

Læs mere om angrebene via bleepingcomputer her.

Source & Image credit:

Techdator, Pixabay