O malware RDStealer é uma ameaça quase abrangente, alavancada por meio do Remote Desktop Protocol (RDP). Aqui está o que você precisa saber.

O processo de identificação de novas e emergentes ameaças de segurança cibernética nunca termina—e em junho de 2023, a BitDefender Labs descobriu um malware que tem como alvo sistemas que utilizam conexões de área de trabalho remota desde 2022.

Se você usa o Remote Desktop Protocol (RDP), é vital determinar se você foi alvo e se seus dados foram roubados. Felizmente, existem alguns métodos que você pode usar para prevenir a infecção e remover o RDStealer do seu PC.

O que é RDStealer? Fui alvo?

O RDStealer é um malware que tenta roubar credenciais e dados de login, infectando um servidor RDP e monitorando suas conexões remotas. Ele é implantado junto com o Logutil, um backdoor usado para infectar áreas de trabalho remotas e permitir acesso persistente por meio de uma instalação do RDStealer no lado do cliente.

Se o malware detectar que uma máquina remota se conectou ao servidor e que o Client Drive Mapping (CDM) está ativado, ele verifica o que está na máquina e procura arquivos como bancos de dados de senhas KeePass, senhas salvas no navegador e SSH privado chaves. Ele também coleta as teclas digitadas e os dados da área de transferência.

instagram viewer

O RDStealer pode direcionar seu sistema independentemente de ser do lado do servidor ou do lado do cliente. Quando o RDStealer infecta uma rede, ele cria arquivos maliciosos em pastas como "%WinDir%\System32" e "%PROGRAM-FILES%" que normalmente são excluídos nas verificações de malware de sistema completo.

O malware se espalha por vários vetores, de acordo com Bitdefender. Além do vetor de ataque do CDM, as infecções do RDStealer podem se originar de anúncios da web infectados, anexos de e-mail maliciosos e campanhas de engenharia social. O grupo responsável pelo RDStealer parece especialmente sofisticado, então novos vetores de ataque – ou formas aprimoradas de RDStealer – provavelmente surgirão no futuro.

Se você usar áreas de trabalho remotas por meio de RDP, sua aposta mais segura é assumir que RDStealer pode ter infectado seu sistema. Embora o vírus seja muito inteligente para ser identificado manualmente com facilidade, você pode afastar o RDStealer melhorando a segurança protocolos em seus sistemas de servidor e cliente e realizando uma verificação antivírus de sistema completo sem exclusões.

Você fica particularmente vulnerável à infecção do RDStealer se usar um sistema Dell, pois ele parece ter como alvo específico os computadores fabricados pela Dell. O malware foi projetado deliberadamente para se disfarçar em diretórios como "Program Files\Dell\CommandUpdate" e usa domínios de comando e controle como "dell-a[.]ntp-update[.]com".

Proteja sua área de trabalho remota contra RDStealer

A coisa mais importante que você pode fazer para se proteger contra o RDStealer é ser cauteloso na web. Embora não existam muitos detalhes específicos sobre como o RDStealer se espalha além das conexões RDP, o cuidado é suficiente para evitar a maioria dos vetores de infecção.

Usar autenticação multifator

Você pode melhorar a segurança das conexões RDP implementando práticas recomendadas como autenticação multifator (MFA). Ao exigir um método de autenticação secundário para cada login, você pode dissuadir muitos tipos de hacks RDP. Outras práticas recomendadas, como a implementação da autenticação em nível de rede (NLA) e o uso de VPNs, também podem tornar seus sistemas menos atraentes e fáceis de serem violados.

Criptografe e faça backup de seus dados

O RDStealer rouba dados de forma eficaz e, além do texto simples encontrado nas pranchetas e obtido do keylogging, ele também procura arquivos como KeePass Password Databases. Embora não haja nenhum lado positivo em ter dados roubados, você pode ter certeza de que qualquer dado roubado é difícil de trabalhar. se você for diligente em criptografar seus arquivos.

A criptografia de arquivos é uma coisa relativamente simples de fazer com o guia certo. Também é extremamente eficaz na proteção de arquivos, pois os hackers precisarão realizar um processo difícil para descriptografar arquivos criptografados. Embora seja possível descriptografar arquivos, é mais provável que os hackers passem para alvos mais fáceis e, como resultado, você pode não sofrer com a violação. Além da criptografia, você também deve fazer backup regularmente de seus dados para evitar a perda de acesso posteriormente.

Configure seu antivírus corretamente

Configurar seu antivírus corretamente também é crucial se você deseja proteger seu sistema. O RDStealer aproveita o fato de que muitos usuários excluem diretórios inteiros em vez de arquivos específicos recomendados, criando arquivos maliciosos dentro desses diretórios. Se você deseja que seu antivírus encontre e remova o RDStealer, você precisa alterar as exclusões do scanner para incluir apenas arquivos específicos recomendados.

Para referência, o RDStealer cria arquivos maliciosos em diretórios (e seus respectivos subdiretórios) que incluem:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\segurança\banco de dados
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md software de armazenamento\md utilitário de configuração\

Você deve ajustar suas exclusões de verificação de vírus de acordo com as diretrizes recomendadas por Microsoft. Exclua apenas os tipos de arquivo e diretórios específicos declarados e não exclua os diretórios pai. Verifique se o seu antivírus está atualizado e conclua uma verificação completa do sistema.

Acompanhe as últimas notícias de segurança

Embora o trabalho árduo da equipe da Bitdefender tenha permitido aos usuários proteger seus sistemas do RDStealer, não é o único malware com o qual você deve se preocupar - e sempre há a chance de ele evoluir em novos e inesperados caminhos. Uma das etapas mais importantes que você pode tomar para proteger seu sistema é acompanhar as últimas notícias sobre ameaças emergentes à segurança cibernética.

Proteja sua área de trabalho remota

Embora novas ameaças surjam todos os dias, você não precisa se resignar a ser vítima do próximo vírus. Você pode proteger sua área de trabalho remota aprendendo mais sobre possíveis vetores de ataque, melhorando a protocolos de segurança em seus sistemas e interagindo com o conteúdo na web de uma forma focada em segurança perspectiva.