Hoy traigo una herramienta de S12 (si no la conoces recomiendo echar un vistazo a su Github y Medium). Se trata de RDPCredStealerDLL escrita en C++ para robar credenciales introducidas en el login de una sesión de Escritorio Remoto (RDP) mediante API hooking usando la librería de Detours.
Hacerla funcionar es tan sencillo como primero copiar la DLL RDPCredsStealer.dll a la ruta C:\Users\Public\Music (tienes el proyecto en el repo, no seas un vago incauto y compilalo tu mismo!)
Abrir la app del Escritorio Remoto:
Ejecutar el binario APIHookInjector:
Y al introducir la contraseña...
... voilà! la tenemos en C:\Users\Public\Music\RDPCreds.txt
El código RDPCredStealerDLL tiene como objetivo la función CredUnPackAuthenticationBufferW de credui.dll que es la responsable del Unpack los buffers de autenticación.
Proyecto: https://github.com/S12cybersecurity/RDPCredentialStealer
Fuente: HackPlayers