El malware RDStealer es una amenaza que abarca casi todo y que se aprovecha a través del Protocolo de escritorio remoto (RDP). Esto es lo que necesita saber.

El proceso de identificación de amenazas de ciberseguridad nuevas y emergentes nunca termina, y en junio de 2023, BitDefender Labs descubrió una pieza de malware que ha estado apuntando a sistemas que utilizan conexiones de escritorio remoto desde 2022.

Si usa el Protocolo de escritorio remoto (RDP), es vital determinar si ha sido atacado y si sus datos han sido robados. Afortunadamente, hay algunos métodos que puede usar para prevenir infecciones y eliminar RDStealer de su PC.

¿Qué es RDStealer? ¿Me han apuntado?

RDStealer es un malware que intenta robar las credenciales de inicio de sesión y los datos infectando un servidor RDP y monitoreando sus conexiones remotas. Se implementa junto con Logutil, una puerta trasera utilizada para infectar escritorios remotos y habilitar el acceso persistente a través de una instalación del lado del cliente de RDStealer.

instagram viewer

Si el malware detecta que una máquina remota se ha conectado al servidor y que Client Drive Mapping (CDM) está habilitado, escanea lo que hay en la máquina y busca archivos como bases de datos de contraseñas de KeePass, contraseñas guardadas en el navegador y SSH privado llaves. También recopila pulsaciones de teclas y datos del portapapeles.

RDStealer puede apuntar a su sistema sin importar si es del lado del servidor o del lado del cliente. Cuando RDStealer infecta una red, crea archivos maliciosos en carpetas como "%WinDir%\System32" y "%PROGRAM-FILES%" que normalmente se excluyen en los análisis de malware de todo el sistema.

El malware se propaga a través de varios vectores, según Bitdefender. Además del vector de ataque CDM, las infecciones RDStealer pueden originarse a partir de anuncios web infectados, archivos adjuntos de correo electrónico maliciosos y campañas de ingeniería social. El grupo responsable de RDStealer parece especialmente sofisticado, por lo que es probable que surjan nuevos vectores de ataque, o formas mejoradas de RDStealer, en el futuro.

Si usted usar escritorios remotos a través de RDP, su apuesta más segura es asumir que RDStealer puede haber infectado su sistema. Si bien el virus es demasiado inteligente para identificarlo manualmente con facilidad, puede protegerse de RDStealer mejorando la seguridad protocolos en su servidor y sistemas cliente, y realizando un análisis antivirus de todo el sistema sin necesidad de exclusiones.

Es particularmente vulnerable a la infección de RDStealer si utiliza un sistema Dell, ya que parece apuntar específicamente a las computadoras fabricadas por Dell. El malware se diseñó deliberadamente para ocultarse en directorios como "Program Files\Dell\CommandUpdate" y utiliza dominios de comando y control como "dell-a[.]ntp-update[.]com".

Asegure su escritorio remoto contra RDStealer

Lo más importante que puede hacer para protegerse contra RDStealer es tener cuidado en la web. Si bien no se conocen muchos detalles sobre cómo se propaga RDStealer aparte de las conexiones RDP, la precaución es suficiente para evitar la mayoría de los vectores de infección.

Usar autenticación multifactor

Puede mejorar la seguridad de las conexiones RDP implementando mejores prácticas como la autenticación multifactor (MFA). Al solicitar un método de autenticación secundario para cada inicio de sesión, puede disuadir a muchos tipos de hacks RDP. Otras prácticas recomendadas, como la implementación de la autenticación a nivel de red (NLA) y el uso de VPN, también pueden hacer que sus sistemas sean menos atractivos y fáciles de violar.

Cifre y haga una copia de seguridad de sus datos

RDStealer roba datos de manera efectiva y, además del texto sin formato que se encuentra en los portapapeles y se adquiere del registro de teclas, también busca archivos como las bases de datos de contraseñas de KeePass. Si bien no hay un lado positivo en el robo de datos, puede estar seguro de que es difícil trabajar con los datos robados. si es diligente en cifrar sus archivos.

El cifrado de archivos es algo relativamente sencillo de hacer con la guía adecuada. También es extremadamente eficaz para proteger los archivos, ya que los piratas informáticos deberán realizar un proceso difícil para descifrar los archivos cifrados. Si bien es posible descifrar archivos, es más probable que los piratas informáticos avancen hacia objetivos más fáciles y, como resultado, es posible que usted no sufra la violación en absoluto. Además del cifrado, también debe hacer una copia de seguridad de sus datos con regularidad para evitar perder el acceso más adelante.

Configura tu antivirus correctamente

Configurar su antivirus correctamente también es crucial si desea proteger su sistema. RDStealer aprovecha el hecho de que muchos usuarios excluirán directorios completos en lugar de archivos recomendados específicos al crear archivos maliciosos dentro de estos directorios. Si desea que su antivirus encuentre y elimine RDStealer, debe cambiar las exclusiones de su escáner para incluir solo archivos recomendados específicos.

Como referencia, RDStealer crea archivos maliciosos en directorios (y sus respectivos subdirectorios) que incluyen:

  • %WinDir%\Sistema32\
  • %WinDir%\System32\wbem
  • %WinDir%\seguridad\base de datos
  • %PROGRAM_FILES%\f-secure\psb\diagnóstico
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md software de almacenamiento\md utilidad de configuración\

Debe ajustar sus exclusiones de escaneo de virus de acuerdo con las pautas recomendadas por microsoft. Solo excluya los tipos de archivos y directorios específicos indicados y no excluya los directorios principales. Verifique que su antivirus esté actualizado y complete un análisis completo del sistema.

Manténgase al día con las últimas noticias de seguridad

Si bien el arduo trabajo del equipo de Bitdefender ha permitido a los usuarios proteger sus sistemas de RDStealer, no es el único malware del que debe preocuparse, y siempre existe la posibilidad de que evolucione en nuevos e inesperados maneras. Uno de los pasos más importantes que puede tomar para proteger su sistema es mantenerse al día con las últimas noticias sobre amenazas emergentes a la ciberseguridad.

Proteja su escritorio remoto

Si bien todos los días surgen nuevas amenazas, no tiene que resignarse a ser víctima del próximo virus. Puede proteger su escritorio remoto aprendiendo más sobre posibles vectores de ataque, mejorando la protocolos de seguridad en sus sistemas e interactuar con el contenido en la web desde un enfoque centrado en la seguridad perspectiva.