Come proteggere il desktop remoto dal malware RDStealer

Il processo di identificazione delle minacce nuove ed emergenti alla sicurezza informatica non finisce mai e, nel giugno 2023, i laboratori BitDefender hanno scoperto un malware che prende di mira i sistemi che utilizzano connessioni di rete desktop remote del 2022.

Se utilizzi Remote Desktop Protocol (RDP) , è importante determinare se sei un bersaglio e se i tuoi dati sono stati rubati. Fortunatamente, esistono diversi metodi che puoi utilizzare per prevenire l'infezione e rimuovere RDStealer dal tuo PC.

Cos'è RDStealer? Come sei stato preso di mira?

RDStealer è un malware che tenta di rubare credenziali e dati infettando un server RDP e monitorandone le connessioni remote. RDStealer viene distribuito con Logutil, una backdoor utilizzata per infettare i desktop remoti e consentire l'accesso persistente attraverso l'installazione di RDStealer lato client.

Se il malware rileva che una macchina remota è connessa al server e Client Drive Mapping (CDM) è abilitato, il malware analizzerà il contenuto sulla macchina e cercherà file come database riservati. Password KeePass, password salvata nel browser e password SSH privata chiave. Raccoglie anche sequenze di tasti e dati degli appunti.

RDStealer può prendere di mira il tuo sistema indipendentemente dal fatto che sia lato server o client. Quando RDStealer infetta una rete, crea file dannosi in cartelle come "%WinDir%\System32" e "%PROGRAM-FILES%" che in genere vengono esclusi durante le scansioni malware a livello di sistema.

Secondo Bitdefender il malware si diffonde attraverso diversi vettori. Oltre al vettore di attacco CDM, le infezioni RDStealer possono provenire da pubblicità web infette, allegati e-mail dannosi e campagne di ingegneria sociale . Il gruppo responsabile di RDStealer sembra essere particolarmente sofisticato, per cui in futuro potrebbero apparire nuovi vettori di attacco o forme migliorate di RDStealer.

Se utilizzi il desktop remoto tramite RDP, la soluzione più sicura è presumere che RDStealer abbia infettato il tuo sistema. Sebbene il virus sia troppo intelligente per essere facilmente identificato manualmente, puoi prevenire RDStealer migliorando i protocolli di sicurezza sui tuoi sistemi server e client ed eseguendo scansioni dell'intero sistema virus senza esclusioni inutili.

Esegui una scansione completa del sistema in Bitdefender

Sei particolarmente vulnerabile a RDStealer se utilizzi un sistema Dell, poiché sembra prendere di mira specificamente i computer prodotti da Dell. Il malware è intenzionalmente progettato per mascherarsi in cartelle come "Programmi\Dell\CommandUpdate" e utilizzare domini di comando e controllo come "dell-a[.]ntp-update[. ]com".

Proteggi il desktop remoto da RDSealer

La cosa più importante che puoi fare per proteggerti da RDSealer è essere cauto quando navighi sul web. Anche se non ci sono molti dettagli su come RDStealer si diffonde oltre le connessioni RDP, è necessario prestare attenzione per evitare quasi tutti i vettori di infezione.

Utilizza l'autenticazione a più fattori

Puoi migliorare la sicurezza delle connessioni RDP implementando best practice come l'autenticazione a più fattori (MFA). Richiedendo un metodo di autenticazione secondario per ogni accesso, puoi prevenire molti tipi di attacchi RDP. Anche altre best practice, come l'implementazione dell'autenticazione a livello di rete (NLA) e l'utilizzo di VPN , possono rendere il tuo sistema meno attraente e vulnerabile alle compromissioni.

Crittografare e eseguire il backup dei dati

RDStealer ruba efficacemente i dati e, oltre al testo in chiaro trovato negli appunti e ottenuto dal keylogging, cerca anche file come i database delle password KeePass. Anche se non ci sono aspetti positivi nei dati rubati, puoi stare certo che qualsiasi dato rubato è difficile da gestire se sei diligente nel crittografare i tuoi file.

La crittografia dei file è un compito relativamente semplice con le giuste istruzioni. È anche estremamente efficace nella protezione dei file, poiché gli hacker dovranno affrontare un processo difficile per decrittografare i file crittografati. Sebbene sia possibile decrittografare i file, è più probabile che gli hacker si spostino verso obiettivi più facili e, di conseguenza, sei completamente senza compromessi. Oltre alla crittografia, dovresti anche eseguire regolarmente il backup dei tuoi dati per evitare di perdere l'accesso in seguito.

Configurare correttamente il software antivirus

Anche la corretta configurazione del software antivirus è importante se vuoi proteggere il tuo sistema. RDStealer sfrutta il fatto che molti utenti escluderanno intere cartelle invece di file specificamente suggeriti creando file dannosi in queste cartelle. Se desideri che il tuo software antivirus trovi e rimuova RDStealer, devi modificare le esclusioni per includere solo i file specificamente consigliati.

Gestisci le eccezioni antivirus in Bitdefender

Per riferimento, RDStealer crea file dannosi in cartelle (e rispettive sottocartelle) tra cui:

• %WinDir%\System32\
• %WinDir%\System32\wbem
• %WinDir%\sicurezza\database
• %PROGRAM_FILES%\f-secure\psb\diagnostics
• %PROGRAM_FILES_x86%\dell\commandupdate\
• %PROGRAM_FILES%\dell\software di archiviazione md\utilità di configurazione md\

È necessario modificare le esclusioni della scansione antivirus in base alle linee guida consigliate da Microsoft. Escludere solo i tipi di file e le cartelle specifici elencati e non escludere le cartelle principali. Verifica che il software antivirus sia aggiornato e completa una scansione completa del sistema.

Aggiorna le ultime notizie sulla sicurezza

Sebbene il team di sviluppo di Bitdefender abbia consentito agli utenti di proteggere i propri sistemi da RDStealer, non è l'unico malware di cui devi preoccuparti e c'è sempre la possibilità che si evolva in modi nuovi e sorprendenti. Uno dei passaggi più importanti che puoi intraprendere per proteggere i tuoi sistemi è rimanere informato sulle ultime notizie sulle minacce emergenti alla sicurezza informatica.