Los titulares en torno a la seguridad informática giraban en los últimos meses en torno al ransomware, una forma de extorsión online que se ha popularizado de forma preocupante. Pero no, no es el único tipo de amenaza que debería preocupar a los usuarios: existen también miles de intentos de infección para minería de bitcoins, y otras formas similares de uso no autorizado de un sistema de forma remota que coinciden en algo: acceso a través de RDP. Esta vía de acceso es lo que aprovecha el troyano que nos ocupa.
Este troyano, RDPPatcher, aprovecha el Protocolo de escritorio remoto –RDP- para conseguir acceso a un ordenador. Lo que hace, concretamente, es modificar el registro de Windows con la intención de modificar el sistema de validación RDP y habilitar sesiones concurrentes de RDP en el dispositivo afectado. Con el acceso a la víctima conseguido, se ejecuta un análisis del equipo para obtener información: nombre de usuario y de equipo, tiempo que lleva encendido, versión e idioma del sistema operativo, máquina virtual y otros detalles sobre el hardware, así como información sobre el antivirus que está instalado, en caso de que haya alguno.
Identifica tu ordenador al completo, y vende los datos para que otro pueda robarte
Además de los detalles anteriores, que se recopilan del ordenador de la víctima, se efectúa la conexión con un servidor de control que permite identificar la velocidad de conexión a Internet de la víctima. Se analiza también el antivirus que está instalado, pero no se hace absolutamente nada con él, sino únicamente recoger información sobre la versión. En esta batida de información, también se busca cualquier tipo de software de TPVs, cajeros automáticos y apuestas. Y por último, se obtiene información sobre el historial de navegación.
Con todos los detalles anteriores se crea una base de datos de los ordenadores analizados, cada cual con su ficha independiente. Y todo esto no se utiliza para llevar a cabo ningún tipo de ataque de forma directa, sino que como comentábamos se almacena de forma ordenada con una extensa recopilación de información sobre todas las potenciales víctimas. Y hablamos de potenciales porque los detalles sobre los equipos se venden en el mercado negro para que sean otros quienes lleven a cabo el ataque. Y ahí sí, es cuando pueden robar información bancaria, por ejemplo, o atacar un TPV, entre otras muchas posibilidades.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
