Контакты
Подписка
МЕНЮ
Контакты
Подписка

Хакеры используют RDP для распространения нового трояна

Хакеры используют RDP для распространения нового трояна

Хакеры используют RDP для распространения нового трояна


07.10.2016

Новое семейство троянов Trojan.sysscan способно вызвать настоящий хаос в корпоративных сетях с недостаточно защищенными RDP-серверами. Как сообщают ИБ-эксперты компании Guardicore, вредонос способен похищать данные со взломанных хостов и передавать их на подконтрольный злоумышленникам удаленный сервер.

Прежде чем инфицировать систему жертвы трояном, хакеры сканируют Сеть на наличие открытых RDP-портов и осуществляют брутфорс путем перебора часто используемых комбинаций логинов и паролей. Наиболее оптимальной целью являются незащищенные серверы. К подобному типу атак особенно уязвимы средние и большие компании, поскольку они используют RDP-серверы.

 По данным экспертов, Trojan.sysscan написан на языке программирования Delphi и может похищать пароли из установленных локально приложений, таких как браузеры, базы данных и ПО для PoS-терминалов. Троян оснащен функцией похищения cookie-файлов и учетных данных для авторизации на банковских, налоговых и букмекерских сайтах.

 С целью сохранить свое присутствие после перезагрузки компьютера, а также для того, чтобы RDP-порт всегда оставался открытым, Trojan.sysscan регистрирует в скомпрометированной системе скрытую учетную запись администратора. Вредонос способен определять, не запущен ли он на виртуальной машине или в песочнице. Тем не менее, троян может только распознавать среду, но все равно выполняется в любом случае.

Securitylab