Il malware RDStealer è una minaccia quasi onnicomprensiva sfruttata tramite Remote Desktop Protocol (RDP). Ecco cosa devi sapere.

Il processo di identificazione delle minacce alla sicurezza informatica nuove ed emergenti non finisce mai e, nel giugno 2023, BitDefender I laboratori hanno scoperto un malware che da allora ha preso di mira i sistemi che utilizzano connessioni desktop remote 2022.

Se utilizzi il protocollo RDP (Remote Desktop Protocol), è fondamentale determinare se sei stato preso di mira e se i tuoi dati sono stati rubati. Fortunatamente, ci sono alcuni metodi che puoi usare per prevenire l'infezione e rimuovere RDStealer dal tuo PC.

Cos'è RDStealer? Sono stato preso di mira?

RDStealer è un malware che tenta di rubare credenziali e dati di accesso infettando un server RDP e monitorandone le connessioni remote. Viene implementato insieme a Logutil, una backdoor utilizzata per infettare i desktop remoti e consentire l'accesso permanente tramite un'installazione lato client di RDStealer.

instagram viewer

Se il malware rileva che una macchina remota si è connessa al server e che Client Drive Mapping (CDM) è abilitato, scansiona cosa c'è sulla macchina e cerca file come database di password KeePass, password salvate dal browser e SSH privato chiavi. Raccoglie anche sequenze di tasti e dati degli appunti.

RDStealer può prendere di mira il tuo sistema indipendentemente dal fatto che sia lato server o lato client. Quando RDStealer infetta una rete, crea file dannosi in cartelle come "%WinDir%\System32" e "%PROGRAM-FILES%" che in genere sono escluse dalle scansioni malware dell'intero sistema.

Il malware si diffonde attraverso diversi vettori, secondo Bitdefender. A parte il vettore di attacco CDM, le infezioni di RDStealer possono provenire da pubblicità Web infette, allegati e-mail dannosi e campagne di ingegneria sociale. Il gruppo responsabile di RDStealer sembra particolarmente sofisticato, quindi è probabile che in futuro emergano nuovi vettori di attacco o forme migliorate di RDStealer.

Se tu utilizzare desktop remoti tramite RDP, la tua scommessa più sicura è presumere che RDStealer possa aver infettato il tuo sistema. Sebbene il virus sia troppo intelligente per essere identificato manualmente con facilità, puoi scongiurare RDStealer migliorando la sicurezza protocolli sui tuoi sistemi server e client ed eseguendo una scansione antivirus dell'intero sistema senza inutili esclusioni.

Sei particolarmente vulnerabile alle infezioni da RDStealer se utilizzi un sistema Dell, poiché sembra mirare specificamente ai computer prodotti da Dell. Il malware è stato deliberatamente progettato per camuffarsi in directory come "Program Files\Dell\CommandUpdate" e utilizza domini di comando e controllo come "dell-a[.]ntp-update[.]com".

Proteggi il tuo desktop remoto da RDStealer

La cosa più importante che puoi fare per proteggerti da RDStealer è essere cauto sul web. Sebbene non siano noti molti dettagli su come RDStealer si diffonde a parte le connessioni RDP, è sufficiente cautela per evitare la maggior parte dei vettori di infezione.

Usa l'autenticazione a più fattori

Puoi migliorare la sicurezza delle connessioni RDP implementando best practice come l'autenticazione a più fattori (MFA). Richiedendo un metodo di autenticazione secondario per ogni accesso, puoi farlo scoraggiare molti tipi di hack RDP. Altre best practice, come l'implementazione dell'autenticazione a livello di rete (NLA) e l'utilizzo di VPN, possono anche rendere i tuoi sistemi meno allettanti e facili da violare.

Crittografa e fai il backup dei tuoi dati

RDStealer ruba i dati in modo efficace e, a parte il testo in chiaro trovato negli appunti e acquisito dal keylogging, cerca anche file come KeePass Password Databases. Sebbene non vi sia alcun lato positivo nel furto di dati, puoi essere certo che è difficile lavorare con qualsiasi dato rubato se sei diligente nel crittografare i tuoi file.

La crittografia dei file è una cosa relativamente semplice da fare con la guida giusta. È anche estremamente efficace nella salvaguardia dei file, poiché gli hacker dovranno intraprendere un processo difficile per decrittografare i file crittografati. Sebbene sia possibile decrittografare i file, è più probabile che gli hacker si spostino su obiettivi più facili e, di conseguenza, potresti non subire alcuna violazione. Oltre alla crittografia, dovresti anche eseguire regolarmente il backup dei tuoi dati per evitare di perdere l'accesso in seguito.

Configura correttamente il tuo antivirus

Anche configurare correttamente il tuo antivirus è fondamentale se vuoi proteggere il tuo sistema. RDStealer sfrutta il fatto che molti utenti escludono intere directory anziché specifici file consigliati creando file dannosi all'interno di queste directory. Se vuoi che il tuo antivirus trovi e rimuova RDStealer, devi farlo modificare le esclusioni dello scanner per includere solo specifici file consigliati.

Per riferimento, RDStealer crea file dannosi nelle directory (e nelle rispettive sottodirectory) che includono:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\sicurezza\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\software di archiviazione md\utility di configurazione md\

È necessario modificare le esclusioni dalla scansione antivirus in conformità con le linee guida consigliate da Microsoft. Escludere solo i tipi di file e le directory specifici indicati e non escludere le directory principali. Verifica che il tuo antivirus sia aggiornato e completa una scansione completa del sistema.

Resta al passo con le ultime notizie sulla sicurezza

Sebbene il duro lavoro del team di Bitdefender abbia consentito agli utenti di proteggere i propri sistemi da RDStealer, esso non è l'unico malware di cui ti devi preoccupare, e c'è sempre la possibilità che si evolva in qualcosa di nuovo e inaspettato modi. Uno dei passaggi più importanti che puoi intraprendere per proteggere il tuo sistema è tenerti aggiornato sulle ultime notizie sulle minacce emergenti alla sicurezza informatica.

Proteggi il tuo desktop remoto

Anche se ogni giorno emergono nuove minacce, non devi rassegnarti a cadere vittima del prossimo virus. Puoi salvaguardare il tuo desktop remoto imparando di più sui potenziali vettori di attacco, migliorando il protocolli di sicurezza sui tuoi sistemi e interagire con i contenuti sul Web da un punto di vista della sicurezza prospettiva.