Los actores de amenazas están abusando de una característica legítima en el servicio RDP de Windows en ataques de malware sin archivos, dejando caer una herramienta multipropósito para la toma de huellas digitales del dispositivo y plantando cargas de malware que van desde mineros de criptomonedas, ransomware hasta ladrones de información y portapapeles, advirtieron los investigadores de Bitdefender .
Los atacantes aprovecharon una característica de los Servicios de escritorio remoto de Windows que permite a un cliente compartir unidades locales en un Terminal Server con permisos de lectura y escritura.
“El cliente RDP tiene la capacidad de compartir una letra de unidad en su máquina, que actúa como un recurso en la red virtual local. Los atacantes pudieron usar el directorio compartido como un mecanismo de filtración de datos muy simple sobre el protocolo RDP. Al usar un componente comercial ubicado en la ubicación de red "tsclient 1" (Terminal Server Client), los atacantes podrían ejecutarlo usando "explorer.exe" o "cmd.exe" y usarlo para descargar malware adicional ". Los investigadores explicaron.
El componente estándar observado en los ataques es un 'worker.exe', una herramienta popular entre múltiples actores de amenazas, especialmente por sus capacidades de reconocimiento. Permite recopilar información del sistema (por ejemplo, arquitectura, modelo de CPU y recuento de núcleos, tamaño de RAM, versión de Windows, etc.), la dirección IP y el nombre de dominio de la víctima, capturar capturas de pantalla, recopilar información sobre navegadores predeterminados y puertos abiertos específicos, e incluso anti-forense y comandos de detección de evasión.
La herramienta se ha observado en varias campañas que entregan ladrones de portapapeles, ransomware (Rapid Ransomware y Nemty ransomware), mineros de criptomonedas Monero y el ladrón de información AZORult.
Los investigadores han encontrado muestras de 'worker.exe' en un recurso compartido de red 'tsclient' y notaron que no se conectaban a un servidor de comando y control (C2) para obtener instrucciones. En cambio, tomó comandos de un archivo de texto llamado 'config.ins' en la misma ubicación.
Todos los datos recopilados se guardan en un archivo .NFO que se almacena en la misma ubicación que el archivo de configuración. Esto proporciona una forma conveniente de dificultar el análisis forense.
El propósito de los tres ladrones de portapapeles (MicroClip, DelphyStealer e IntelRapid) es explotar la forma en que se realizan los pagos de criptomonedas, para desviar fondos a los atacantes. En comparación con MicroClip y DelphyStealer, el ladrón IntelRapid es más avanzado ya que admite una gama más amplia de esquemas de criptomonedas: Bitcoin, Litecoin, Ethereum, Monero, Bitcoin Cash, Dash, Ripple, Dogecoin, Neo y ZCash. Su código también está muy ofuscado utilizando numerosas capas de llamadas virtuales, lo que dificulta la ingeniería inversa.
Al analizar las direcciones de reemplazo, Bitdefender determinó que los ladrones de portapapeles fueron implementados por el mismo actor de amenazas.
En términos de impacto financiero, las ganancias estimadas de criptomonedas basadas en las billeteras de criptomonedas encontradas indican que los atacantes han ganado al menos $ 150,000 a través de algunas de sus campañas. A partir de sus hallazgos, los investigadores no han podido determinar cómo exactamente los atacantes lograron comprometer la red objetivo o plantar 'worker.exe' en el recurso compartido 'tsclient'. Además, se desconoce cómo el actor de la amenaza obtuvo las credenciales RDP necesarias para acceder al host de destino.
En cuanto a las víctimas, Bitdefender dijo que estas campañas no parecen apuntar a industrias específicas, sino que intentan llegar a la mayor cantidad de víctimas posible. La mayoría de las víctimas se encuentran en Brasil, Estados Unidos y Rumania.
https://www.bitdefender.com/files/News/CaseStudies/study/302/Bitdefender-WhitePaper-RDP-Abusers.pdf
