Le malware RDStealer est une menace presque globale exploitée via le protocole de bureau à distance (RDP). Voici ce que vous devez savoir.

Le processus d'identification des menaces de cybersécurité nouvelles et émergentes ne s'arrête jamais - et en juin 2023, BitDefender Labs a découvert un logiciel malveillant qui cible les systèmes utilisant des connexions de bureau à distance depuis 2022.

Si vous utilisez le protocole RDP (Remote Desktop Protocol), il est essentiel de déterminer si vous avez été ciblé et si vos données ont été volées. Heureusement, il existe quelques méthodes que vous pouvez utiliser pour prévenir l'infection et supprimer RDStealer de votre PC.

Qu'est-ce que RDStealer? Ai-je été ciblé?

RDStealer est un logiciel malveillant qui tente de voler les informations d'identification et les données de connexion en infectant un serveur RDP et en surveillant ses connexions à distance. Il se déploie aux côtés de Logutil, une porte dérobée utilisée pour infecter les postes de travail distants et permettre un accès persistant via une installation côté client de RDStealer.

instagram viewer

Si le logiciel malveillant détecte qu'une machine distante s'est connectée au serveur et que Client Drive Mapping (CDM) est activé, il analyse ce qui se trouve sur la machine et recherche des fichiers tels que les bases de données de mots de passe KeePass, les mots de passe enregistrés par le navigateur et SSH privé clés. Il collecte également les frappes au clavier et les données du presse-papiers.

RDStealer peut cibler votre système, qu'il soit côté serveur ou côté client. Lorsque RDStealer infecte un réseau, il crée des fichiers malveillants dans des dossiers tels que "%WinDir%\System32" et "%PROGRAM-FILES%" qui sont généralement exclus des analyses de logiciels malveillants du système complet.

Le malware se propage par plusieurs vecteurs, selon Bitdefender. Outre le vecteur d'attaque CDM, les infections RDStealer peuvent provenir de publicités Web infectées, de pièces jointes malveillantes et de campagnes d'ingénierie sociale. Le groupe responsable de RDStealer semble particulièrement sophistiqué, de sorte que de nouveaux vecteurs d'attaque - ou des formes améliorées de RDStealer - sont susceptibles d'émerger à l'avenir.

Si tu utiliser des postes de travail distants via RDP, votre pari le plus sûr est de supposer que RDStealer peut avoir infecté votre système. Bien que le virus soit trop intelligent pour être facilement identifié manuellement, vous pouvez éloigner RDStealer en améliorant la sécurité protocoles sur vos systèmes serveur et client, et en effectuant une analyse antivirus complète du système sans exclusions.

Vous êtes particulièrement vulnérable aux infections par RDStealer si vous utilisez un système Dell, car il semble cibler spécifiquement les ordinateurs fabriqués par Dell. Le logiciel malveillant a été délibérément conçu pour se dissimuler dans des répertoires tels que "Program Files\Dell\CommandUpdate" et utilise des domaines de commande et de contrôle tels que "dell-a[.]ntp-update[.]com".

Sécurisez votre bureau à distance contre RDStealer

La chose la plus importante que vous puissiez faire pour vous protéger contre RDStealer est d'être prudent sur le Web. Bien qu'il n'y ait pas beaucoup de détails connus sur la façon dont RDStealer se propage en dehors des connexions RDP, la prudence est suffisante pour éviter la plupart des vecteurs d'infection.

Utiliser l'authentification multifacteur

Vous pouvez améliorer la sécurité des connexions RDP en mettant en œuvre les meilleures pratiques telles que l'authentification multifacteur (MFA). En exigeant une méthode d'authentification secondaire pour chaque connexion, vous pouvez dissuader de nombreux types de piratage RDP. D'autres meilleures pratiques, telles que la mise en œuvre de l'authentification au niveau du réseau (NLA) et l'utilisation de VPN, peuvent également rendre vos systèmes moins attrayants et faciles à violer.

Chiffrez et sauvegardez vos données

RDStealer vole efficacement les données - et mis à part le texte en clair trouvé dans les presse-papiers et acquis à partir de l'enregistrement de frappe, il recherche également des fichiers comme les bases de données de mots de passe KeePass. Bien qu'il n'y ait aucun côté positif au vol de données, vous pouvez être assuré qu'il est difficile de travailler avec des données volées. si vous êtes diligent sur le cryptage de vos fichiers.

Le cryptage de fichiers est une chose relativement simple à faire avec le bon guide. Il est également extrêmement efficace pour protéger les fichiers, car les pirates devront entreprendre un processus difficile pour décrypter les fichiers cryptés. Bien qu'il soit possible de décrypter des fichiers, les pirates sont plus susceptibles de passer à des cibles plus faciles et, par conséquent, vous ne souffrirez peut-être pas du tout de la violation. Outre le cryptage, vous devez également sauvegarder régulièrement vos données pour éviter de perdre l'accès ultérieurement.

Configurez correctement votre antivirus

Configurer correctement votre antivirus est également crucial si vous souhaitez protéger votre système. RDStealer profite du fait que de nombreux utilisateurs excluent des répertoires entiers au lieu de fichiers spécifiques recommandés en créant des fichiers malveillants dans ces répertoires. Si vous voulez que votre antivirus trouve et supprime RDStealer, vous devez modifier les exclusions de votre scanner pour n'inclure que des fichiers spécifiques recommandés.

Pour référence, RDStealer crée des fichiers malveillants dans des répertoires (et leurs sous-répertoires respectifs) qui incluent :

  • %RepWin%\System32\
  • %RepWin%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\logiciel de stockage md\utilitaire de configuration md\

Vous devez ajuster vos exclusions d'analyse antivirus conformément aux directives recommandées par Microsoft. N'excluez que les types de fichiers et répertoires spécifiques indiqués et n'excluez pas les répertoires parents. Vérifiez que votre antivirus est à jour et effectuez une analyse complète du système.

Tenez-vous au courant des dernières nouvelles sur la sécurité

Bien que le travail acharné de l'équipe de Bitdefender ait permis aux utilisateurs de protéger leurs systèmes contre RDStealer, il n'est pas le seul logiciel malveillant dont vous devez vous soucier, et il y a toujours une chance qu'il évolue dans de nouveaux et inattendus façons. L'une des mesures les plus importantes que vous puissiez prendre pour protéger votre système consiste à vous tenir au courant des dernières nouvelles sur les menaces émergentes en matière de cybersécurité.

Protégez votre bureau à distance

Alors que de nouvelles menaces émergent chaque jour, vous n'avez pas à vous résigner à être victime du prochain virus. Vous pouvez protéger votre poste de travail distant en en apprenant davantage sur les vecteurs d'attaque potentiels, en améliorant la protocoles de sécurité sur vos systèmes et interagir avec le contenu sur le Web à partir d'un environnement axé sur la sécurité perspective.