• Tweet

Ataca servidores usando el Protocolo de Escritorio Remoto (RDP)

Empresas de seguridad han descubierto un nuevo gusano que intenta secuestrar servidores inseguros mediante el uso de conexiones RDP desde PCs en la misma red para recolectar inicios de sesión.

Apodado por Microsoft como 'Morto' (Sophos: Troj / Agent-TEE), el gusano muestra una mezcla de sofisticación y claridad en la búsqueda de servidores presas.

Una vez que se ha cargado como un servicio difícil de detectar con el  svchost.exe de Windows, el código malicioso abre una conexión al RDP en el puerto 3389, Morto cicla a través de las direcciones IP que detecta en las subredes e intenta conectarse usando un simple diccionario con posibles contraseñas.

Esto incluye variantes obvias de 'admin', pero también son comunes los nombres de pila, 'invitado', 'root', 'consola', varias secuencias triviales de números y el viejo favorito 'password'.

Si resulta exitoso con un servidor, a continuación, se copia en el sistema de la víctima y trata de elevar su propio proceso para obtener el control del administrador antes de descargar otros componentes.

Los investigadores de Microsoft señalan que Morto no necesita explotar software para llevar a cabo su trabajo, sólo contraseñas débiles de la clase que afectan a redes bien defendidas.

Morto parece estar diseñado para lanzar ataques DDoS  con un ancho de banda potencialmente alto a su disposición, los servidores son muy apreciados para este tipo de aplicación, aunque son más difíciles de infectar que a simples PCs.

El malware tiene una debilidad en la forma en que ataca el sistema, es decir, intenta cerrar una serie de programas antivirus comunes. Aunque esto suena como una buena táctica, la mayoría de estos están diseñados para resistir interferencia simple, al atacar de este modo, fácilmente podría provocar la atención del usuario de la PC y detectar la existencia de Morto.

Hasta el momento, Morto se ha detectado en unos cuantos miles de sistemas en los últimos días, sobre todo los que ejecutan Windows XP, pero ataques de bajo nivel en objetivos de alto valor podrían ser parte de su modus operandi.

La protección de Microsoft  aconseja a usuarios empresariales no dejarse sorprender: "Alentamos, en particular a usuarios empresariales a que mediante el establecimiento de polítcas, sus contraseñas sean fuertes y las cambien regularmente de acuerdo a éstas".