Programul malware RDStealer este o amenințare aproape atotcuprinzătoare, utilizată prin protocolul RDP (Remote Desktop Protocol). Iată ce trebuie să știți.

Procesul de identificare a amenințărilor noi și emergente la securitatea cibernetică nu se termină niciodată – iar în iunie 2023, BitDefender Laboratoarele au descoperit de atunci un program malware care vizează sistemele care utilizează conexiuni desktop la distanță 2022.

Dacă utilizați Remote Desktop Protocol (RDP), este vital să determinați dacă ați fost vizat și dacă datele dvs. au fost furate. Din fericire, există câteva metode pe care le puteți folosi pentru a preveni infecția și pentru a elimina RDStealer de pe computer.

Ce este RDStealer? Am fost vizat?

RDStealer este un program malware care încearcă să fure acreditările și datele de conectare prin infectarea unui server RDP și monitorizarea conexiunilor sale de la distanță. Se implementează alături de Logutil, o ușă din spate folosită pentru a infecta desktop-uri la distanță și pentru a permite accesul persistent printr-o instalare pe partea client a RDStealer.

instagram viewer

Dacă malware-ul detectează că o mașină de la distanță s-a conectat la server și că Client Drive Mapping (CDM) este activată, scanează ce este pe aparat și caută fișiere precum bazele de date de parole KeePass, parolele salvate în browser și SSH private chei. De asemenea, colectează apăsări de taste și date din clipboard.

RDStealer vă poate viza sistemul, indiferent dacă este pe partea serverului sau pe partea clientului. Când RDStealer infectează o rețea, creează fișiere rău intenționate în foldere precum „%WinDir%\System32” și „%PROGRAM-FILES%”, care sunt de obicei excluse în scanările întregului sistem malware.

Malware-ul se răspândește prin mai mulți vectori, potrivit Bitdefender. Pe lângă vectorul de atac CDM, infecțiile RDStealer pot proveni din reclame web infectate, atașamente de e-mail rău intenționate și campanii de inginerie socială. Grupul responsabil pentru RDStealer pare deosebit de sofisticat, astfel încât noi vectori de atac – sau forme îmbunătățite de RDStealer – sunt probabil să apară în viitor.

daca tu utilizați desktop-uri la distanță prin RDP, cel mai sigur pariu este să presupunem că RDStealer v-a infectat sistemul. Deși virusul este prea inteligent pentru a fi identificat manual cu ușurință, puteți evita RDStealer îmbunătățind securitatea protocoale pe serverul dumneavoastră și sistemele client și prin efectuarea unei scanări antivirus complete a sistemului fără a fi necesară excluderile.

Sunteți deosebit de vulnerabil la infecția de la RDStealer dacă utilizați un sistem Dell, deoarece pare să vizeze în mod special computerele fabricate de Dell. Malware-ul a fost conceput în mod deliberat pentru a se deghiza în directoare precum „Program Files\Dell\CommandUpdate” și utilizează domenii de comandă și control precum „dell-a[.]ntp-update[.]com”.

Asigurați-vă desktopul de la distanță împotriva RDStealer

Cel mai important lucru pe care îl puteți face pentru a vă proteja împotriva RDStealer este să fiți precaut pe web. Deși nu se cunosc multe detalii despre modul în care RDStealer se răspândește în afară de conexiunile RDP, prudența este suficientă pentru a evita majoritatea vectorilor de infecție.

Utilizați autentificarea cu mai mulți factori

Puteți îmbunătăți securitatea conexiunilor RDP prin implementarea celor mai bune practici, cum ar fi autentificarea cu mai mulți factori (MFA). Cerând o metodă de autentificare secundară pentru fiecare conectare, puteți descurajează multe tipuri de hack-uri RDP. Alte bune practici, cum ar fi implementarea autentificării la nivel de rețea (NLA) și utilizarea VPN-urilor, vă pot face, de asemenea, sistemele mai puțin atractive și ușor de încălcat.

Criptați și faceți backup pentru datele dvs

RDStealer fură datele în mod eficient și, în afară de textul simplu găsit în clipboard-uri și obținut din înregistrarea tastelor, caută și fișiere precum bazele de date cu parole KeePass. Deși nu există nicio latură pozitivă a furtării datelor, poți fi sigur că toate datele furate sunt greu de lucrat dacă sunteți sârguincios în a vă cripta fișierele.

Criptarea fișierelor este un lucru relativ simplu de făcut cu ghidul potrivit. Este, de asemenea, extrem de eficient în protejarea fișierelor, deoarece hackerii vor trebui să întreprindă un proces dificil pentru a decripta fișierele criptate. Deși este posibil să decriptați fișierele, hackerii sunt mai susceptibili să treacă la ținte mai ușoare – și, în consecință, este posibil să nu suferiți deloc de încălcare. Pe lângă criptare, ar trebui să faceți în mod regulat copii de rezervă ale datelor pentru a preveni pierderea accesului mai târziu.

Configurați corect antivirusul

Configurarea corectă a antivirusului este, de asemenea, crucială dacă doriți să vă protejați sistemul. RDStealer profită de faptul că mulți utilizatori vor exclude directoare întregi în loc de anumite fișiere recomandate, creând fișiere rău intenționate în aceste directoare. Dacă doriți ca antivirusul dvs. să găsească și să elimine RDStealer, trebuie modificați excluderile scanerului pentru a include numai anumite fișiere recomandate.

Pentru referință, RDStealer creează fișiere rău intenționate în directoare (și subdirectoarele respective) care includ:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\securitate\bază de date
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md software de stocare\md utilitar de configurare\

Ar trebui să ajustați excluderile scanării virușilor în conformitate cu instrucțiunile recomandate de Microsoft. Excludeți numai tipurile de fișiere și directoarele specificate și nu excludeți directoarele părinte. Verificați dacă antivirusul dvs. este actualizat și finalizați o scanare completă a sistemului.

Fiți la curent cu cele mai recente știri de securitate

Deși munca grea a echipei Bitdefender a permis utilizatorilor să-și protejeze sistemele de RDStealer, aceasta nu este singurul malware pentru care trebuie să vă faceți griji - și există întotdeauna șansa ca acesta să evolueze în mod nou și neașteptat moduri. Unul dintre cei mai importanți pași pe care îi puteți lua pentru a vă proteja sistemul este să fiți la curent cu cele mai recente știri despre amenințările emergente la adresa securității cibernetice.

Protejează-ți desktopul la distanță

În timp ce noi amenințări apar în fiecare zi, nu trebuie să vă resemnați să cădeți victima următorului virus. Vă puteți proteja desktopul de la distanță aflând mai multe despre potențialii vectori de atac, îmbunătățind protocoalele de securitate pe sistemele dvs. și interacțiunea cu conținutul de pe web dintr-un sistem axat pe securitate perspectivă.