Venda de ferramenta POC para VNC/RDP oculto (HVNC/HRDP)

Venda de ferramenta POC para VNC/RDP oculto (HVNC/HRDP)

Apenas para fins informativos

Tipo de ferramenta: implementação de sessões de controle remoto ocultas (Hidden VNC + Hidden RDP) na máquina do usuário atacado SO afetado: Windows Preço: $80K (por uma unidade)

O vendedor oferece uma versão POC da ferramenta que implementa sessões ocultas de VNC e RDP no host do usuário atacado. De acordo com o autor, a implementação atual funciona inteiramente em userland, não requer privilégios elevados ou drivers, suporta WebGL (ou seja, a área de trabalho oculta é capaz de renderizar conteúdo moderno acelerado por GPU, incluindo aplicações web bancárias com visualização 3D) e não é detectada por AV/EDR com o refinamento adequado. No momento, este é um POC - o autor promete desenvolvê-lo em um produto completo e aumentar o preço.

HVNC e HRDP são técnicas bem estabelecidas no arsenal de Trojans financeiros. Eles foram mencionados pela primeira vez em detalhes em relatórios de meados dos anos 2010. E desde então, eles apareceram regularmente em campanhas do TrickBot, IcedID, BazarLoader, do FIN7 e outros grupos. A essência é abrir uma área de trabalho oculta na máquina do usuário atacado, na qual o atacante executa ações em nome do usuário: fazer login no banco online, iniciar uma transferência, adicionar um destinatário (enquanto o usuário atacado vê a área de trabalho regular).

A novidade da ferramenta, de acordo com a descrição, reside nos detalhes de engenharia da implementação (a rejeição de drivers e contexto elevado), não na abordagem fundamental.