RDStealer malware är ett nästan allomfattande hot som utnyttjas genom Remote Desktop Protocol (RDP). Här är vad du behöver veta.

Processen att identifiera nya och framväxande cybersäkerhetshot tar aldrig slut – och i juni 2023, BitDefender Labs upptäckte en del skadlig programvara som har riktat sig mot system som använder fjärrskrivbordsanslutningar sedan dess 2022.

Om du använder Remote Desktop Protocol (RDP) är det viktigt att avgöra om du har blivit måltavla och om din data har stulits. Lyckligtvis finns det några metoder du kan använda för att förhindra infektion och ta bort RDStealer från din dator.

Vad är RDStealer? Har jag blivit riktad?

RDStealer är skadlig programvara som försöker stjäla inloggningsuppgifter och data genom att infektera en RDP-server och övervaka dess fjärranslutningar. Den distribueras tillsammans med Logutil, en bakdörr som används för att infektera fjärrskrivbord och möjliggöra beständig åtkomst genom en installation på klientsidan av RDStealer.

Om skadlig programvara upptäcker att en fjärrdator har anslutit till servern och att Client Drive Mapping (CDM) är aktiverad, skannar vad som finns på maskinen och söker efter filer som KeePass lösenordsdatabaser, webbläsarsparade lösenord och SSH private nycklar. Den samlar också in tangenttryckningar och urklippsdata.

instagram viewer

RDStealer kan rikta in sig på ditt system oavsett om det är server- eller klientsida. När RDStealer infekterar ett nätverk skapar den skadliga filer i mappar som "%WinDir%\System32" och "%PROGRAM-FILES%" som vanligtvis utesluts i skadlig skadlig sökning i hela systemet.

Skadlig programvara sprids genom flera vektorer, enligt Bitdefender. Bortsett från CDM-attackvektorn kan RDStealer-infektioner härröra från infekterade webbannonser, skadliga e-postbilagor och sociala ingenjörskampanjer. Gruppen som ansvarar för RDStealer verkar särskilt sofistikerad, så nya attackvektorer – eller förbättrade former av RDStealer – kommer sannolikt att dyka upp i framtiden.

Om du använda fjärrskrivbord via RDP, din säkraste insats är att anta att RDStealer kan ha infekterat ditt system. Även om viruset är för smart för att lätt identifieras manuellt, kan du avvärja RDStealer genom att förbättra säkerheten protokoll på din server och klientsystem, och genom att utföra en antivirusskanning i hela systemet utan onödiga uteslutningar.

Du är särskilt sårbar för infektion från RDStealer om du använder ett Dell-system, eftersom det verkar vara specifikt inriktat på Dell-tillverkade datorer. Skadlig programvara designades medvetet för att dölja sig i kataloger som "Program Files\Dell\CommandUpdate" och använder kommando-och-kontrolldomäner som "dell-a[.]ntp-update[.]com".

Säkra ditt fjärrskrivbord mot RDStealer

Det viktigaste du kan göra för att skydda dig mot RDStealer är att vara försiktig på webben. Även om det inte finns många detaljer kända om hur RDStealer sprider sig förutom RDP-anslutningar, är försiktighet tillräckligt för att undvika de flesta infektionsvektorer.

Använd multifaktorautentisering

Du kan förbättra säkerheten för RDP-anslutningar genom att implementera bästa praxis som multi-factor authentication (MFA). Genom att kräva en sekundär autentiseringsmetod för varje inloggning kan du avskräcka många typer av RDP-hack. Andra bästa metoder, som att implementera autentisering på nätverksnivå (NLA) och använda VPN, kan också göra dina system mindre lockande och lätta att bryta.

Kryptera och säkerhetskopiera dina data

RDStealer stjäl data effektivt – och förutom den klartext som finns i urklipp och hämtad från tangentloggning, letar den också efter filer som KeePass Password Databases. Även om det inte finns någon positiv sida med att få data stulen, kan du vara säker på att alla stulna data är svåra att arbeta med om du är noggrann med att kryptera dina filer.

Filkryptering är en relativt enkel sak att göra med rätt guide. Det är också extremt effektivt för att skydda filer, eftersom hackare kommer att behöva genomföra en svår process för att dekryptera krypterade filer. Även om det är möjligt att dekryptera filer, är det mer sannolikt att hackare går vidare till enklare mål – och som ett resultat kanske du inte lider av intrånget alls. Förutom kryptering bör du också regelbundet säkerhetskopiera dina data för att förhindra att du förlorar åtkomst senare.

Konfigurera ditt antivirus korrekt

Att konfigurera ditt antivirus korrekt är också avgörande om du vill skydda ditt system. RDStealer drar fördel av det faktum att många användare kommer att utesluta hela kataloger istället för specifika rekommenderade filer genom att skapa skadliga filer i dessa kataloger. Om du vill att ditt antivirus ska hitta och ta bort RDStealer måste du göra det ändra dina skanneruteslutningar att endast inkludera specifika rekommenderade filer.

Som referens skapar RDStealer skadliga filer i kataloger (och deras respektive underkataloger) som inkluderar:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\säkerhet\databas
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md lagringsprogram\md konfigurationsverktyg\

Du bör justera dina undantag för virussökning i enlighet med de riktlinjer som rekommenderas av Microsoft. Uteslut endast de specifika filtyperna och katalogerna som anges och exkludera inte överordnade kataloger. Kontrollera att ditt antivirusprogram är uppdaterat och gör en fullständig genomsökning av systemet.

Håll dig uppdaterad med de senaste säkerhetsnyheterna

Även om det hårda arbetet från teamet på Bitdefender har gjort det möjligt för användare att skydda sina system från RDStealer, är inte den enda skadliga programvaran du behöver oroa dig för – och det finns alltid en chans att den kommer att utvecklas i nya och oväntade sätt. Ett av de viktigaste stegen du kan vidta för att skydda ditt system är att hålla dig uppdaterad med de senaste nyheterna om nya cybersäkerhetshot.

Skydda ditt fjärrskrivbord

Medan nya hot dyker upp varje dag, behöver du inte resignera för att bli offer för nästa virus. Du kan skydda ditt fjärrskrivbord genom att lära dig mer om potentiella attackvektorer och förbättra säkerhetsprotokoll på dina system, och interagera med innehåll på webben från en säkerhetsfokuserad perspektiv.