De RDStealer-malware is een bijna allesomvattende dreiging die wordt gebruikt via Remote Desktop Protocol (RDP). Dit is wat u moet weten.

Het proces van het identificeren van nieuwe en opkomende cyberbeveiligingsbedreigingen houdt nooit op - en in juni 2023, BitDefender Labs ontdekte een stukje malware dat zich sindsdien richt op systemen die gebruikmaken van externe desktopverbindingen 2022.

Als u Remote Desktop Protocol (RDP) gebruikt, is het essentieel om te bepalen of u het doelwit bent en of uw gegevens zijn gestolen. Gelukkig zijn er een paar methoden die u kunt gebruiken om infectie te voorkomen en RDStealer van uw pc te verwijderen.

Wat is RDStealer? Ben ik het doelwit geweest?

RDStealer is malware die inloggegevens en gegevens probeert te stelen door een RDP-server te infecteren en de externe verbindingen ervan te bewaken. Het wordt naast Logutil geïmplementeerd, een achterdeur die wordt gebruikt om externe desktops te infecteren en permanente toegang mogelijk te maken via een client-side installatie van RDStealer.

instagram viewer

Als de malware detecteert dat een externe machine verbinding heeft gemaakt met de server en dat Client Drive Mapping (CDM) is ingeschakeld, scant wat er op de machine staat en zoekt naar bestanden zoals KeePass-wachtwoorddatabases, in de browser opgeslagen wachtwoorden en SSH-privé sleutels. Het verzamelt ook toetsaanslagen en klembordgegevens.

RDStealer kan uw systeem targeten, ongeacht of het server-side of client-side is. Wanneer RDStealer een netwerk infecteert, creëert het kwaadaardige bestanden in mappen zoals "%WinDir%\System32" en "%PROGRAM-FILES%" die doorgaans worden uitgesloten van volledige systeemmalwarescans.

De malware verspreidt zich volgens verschillende vectoren Bitdefender. Afgezien van de CDM-aanvalsvector, kunnen RDStealer-infecties afkomstig zijn van geïnfecteerde webadvertenties, kwaadaardige e-mailbijlagen en social engineering-campagnes. De groep die verantwoordelijk is voor RDStealer lijkt bijzonder geavanceerd, dus er zullen in de toekomst waarschijnlijk nieuwe aanvalsvectoren of verbeterde vormen van RDStealer verschijnen.

als jij gebruik externe desktops via RDP, is uw veiligste gok om aan te nemen dat RDStealer uw systeem mogelijk heeft geïnfecteerd. Hoewel het virus te slim is om gemakkelijk handmatig te identificeren, kunt u RDStealer afweren door de beveiliging te verbeteren protocollen op uw server- en clientsystemen, en door een antivirusscan van het volledige systeem uit te voeren zonder dat dit onnodig is uitsluitingen.

U bent bijzonder kwetsbaar voor infectie door RDStealer als u een Dell-systeem gebruikt, aangezien het zich specifiek lijkt te richten op door Dell gefabriceerde computers. De malware is met opzet ontworpen om zichzelf te vermommen in mappen zoals "Program Files\Dell\CommandUpdate" en maakt gebruik van command-and-control-domeinen zoals "dell-a[.]ntp-update[.]com".

Beveilig uw extern bureaublad tegen RDStealer

Het belangrijkste dat u kunt doen om uzelf tegen RDStealer te beschermen, is voorzichtig zijn op internet. Hoewel er naast RDP-verbindingen niet veel details bekend zijn over hoe RDStealer zich verspreidt, is voorzichtigheid geboden om de meeste infectievectoren te vermijden.

Gebruik Multi-Factor Authenticatie

U kunt de beveiliging van RDP-verbindingen verbeteren door best practices zoals multi-factor authenticatie (MFA) te implementeren. Door voor elke login een secundaire authenticatiemethode te vereisen, kan dat veel soorten RDP-hacks afschrikken. Andere best practices, zoals het implementeren van authenticatie op netwerkniveau (NLA) en het gebruik van VPN's, kunnen uw systemen ook minder aantrekkelijk en gemakkelijk te doorbreken maken.

Versleutel en maak een back-up van uw gegevens

RDStealer steelt effectief gegevens - en afgezien van de leesbare tekst die op klemborden wordt gevonden en verkregen via keylogging, zoekt het ook naar bestanden zoals KeePass-wachtwoorddatabases. Hoewel er geen positieve kant is aan het stelen van gegevens, kunt u er zeker van zijn dat gestolen gegevens moeilijk te verwerken zijn als u ijverig bent in het versleutelen van uw bestanden.

Bestandscodering is relatief eenvoudig te doen met de juiste gids. Het is ook buitengewoon effectief in het beveiligen van bestanden, aangezien hackers een moeilijk proces moeten doorlopen om versleutelde bestanden te decoderen. Hoewel het mogelijk is om bestanden te decoderen, is de kans groter dat hackers zich richten op gemakkelijkere doelen, en als gevolg daarvan heb je misschien helemaal geen last van de inbreuk. Afgezien van codering, moet u ook regelmatig een back-up van uw gegevens maken om te voorkomen dat u later de toegang verliest.

Configureer uw antivirus correct

Het correct configureren van uw antivirusprogramma is ook cruciaal als u uw systeem wilt beschermen. RDStealer maakt gebruik van het feit dat veel gebruikers hele mappen uitsluiten in plaats van specifieke aanbevolen bestanden door schadelijke bestanden in deze mappen te maken. Als u wilt dat uw antivirusprogramma RDStealer vindt en verwijdert, moet u dat doen uw scanneruitsluitingen wijzigen om alleen specifieke aanbevolen bestanden op te nemen.

Ter referentie: RDStealer maakt schadelijke bestanden aan in mappen (en hun respectievelijke submappen), waaronder:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\beveiliging\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md opslagsoftware\md configuratiehulpprogramma\

U dient uw uitsluitingen voor virusscanning aan te passen in overeenstemming met de richtlijnen aanbevolen door Microsoft. Sluit alleen de vermelde specifieke bestandstypen en mappen uit en sluit bovenliggende mappen niet uit. Controleer of uw antivirus up-to-date is en voer een volledige systeemscan uit.

Blijf op de hoogte van het laatste beveiligingsnieuws

Hoewel het harde werk van het team van Bitdefender gebruikers in staat heeft gesteld hun systemen te beschermen tegen RDStealer, it is niet de enige malware waar u zich zorgen over hoeft te maken, en er is altijd een kans dat deze zich in nieuwe en onverwachte vormen ontwikkelt manieren. Een van de belangrijkste stappen die u kunt nemen om uw systeem te beschermen, is door op de hoogte te blijven van het laatste nieuws over opkomende cyberbeveiligingsbedreigingen.

Bescherm uw extern bureaublad

Hoewel er elke dag nieuwe bedreigingen opduiken, hoeft u zich niet neer te leggen bij het slachtoffer worden van het volgende virus. U kunt uw externe desktop beveiligen door meer te leren over mogelijke aanvalsvectoren, waardoor de beveiligingsprotocollen op uw systemen en interactie met inhoud op internet vanuit een op beveiliging gerichte perspectief.