Le processus d'identification des menaces de cybersécurité nouvelles et émergentes ne s'arrête jamais - et en juin 2023, BitDefender Labs a découvert un logiciel malveillant ciblant les systèmes qui utilisent des connexions réseau et des connexions de bureau à distance à partir de 2022.
Si vous utilisez le protocole RDP (Remote Desktop Protocol) , il est important de déterminer si vous êtes une cible et si vos données ont été volées. Heureusement, il existe plusieurs méthodes que vous pouvez utiliser pour prévenir l'infection et supprimer RDStealer de votre PC.
Qu'est-ce que RDStealer ? Comment avez-vous été ciblé ?
RDStealer est un malware qui tente de voler des informations d'identification et des données en infectant un serveur RDP et en surveillant ses connexions à distance. RDStealer est déployé avec Logutil, une porte dérobée utilisée pour infecter les postes de travail distants et permettre un accès persistant via l'installation de RDStealer côté client.
Si le malware détecte qu'une machine distante est connectée au serveur et que le Client Drive Mapping (CDM) est activé, le malware analysera le contenu de la machine et recherchera des fichiers tels que des bases de données confidentielles. Mot de passe KeePass, mot de passe enregistré dans le navigateur et SSH privé. clé. Il collecte également les frappes au clavier et les données du presse-papiers.
RDStealer peut cibler votre système, qu'il soit côté serveur ou client. Lorsque RDStealer infecte un réseau, il crée des fichiers malveillants dans des dossiers tels que « %WinDir%\System32 » et « %PROGRAM-FILES% » qui sont généralement exclus lors des analyses de logiciels malveillants à l'échelle du système.
Selon Bitdefender, le malware se propage via plusieurs vecteurs. En plus du vecteur d'attaque CDM, les infections RDStealer peuvent provenir de publicités Web infectées, de pièces jointes malveillantes et de campagnes d'ingénierie sociale . Le groupe responsable de RDStealer semble être particulièrement sophistiqué, de sorte que de nouveaux vecteurs d'attaque - ou des formes améliorées de RDStealer - pourraient apparaître à l'avenir.
Si vous utilisez un bureau à distance via RDP, le plus sûr est de supposer que RDStealer a infecté votre système. Bien que le virus soit trop intelligent pour être facilement identifié manuellement, vous pouvez empêcher RDStealer en améliorant les protocoles de sécurité sur vos systèmes serveur et client, et en effectuant des analyses antivirus de l'ensemble du système sans exclusions inutiles.
Effectuer une analyse complète du système dans Bitdefender
Vous êtes particulièrement vulnérable à RDStealer si vous utilisez un système Dell, car il semble cibler spécifiquement les ordinateurs fabriqués par Dell. Le logiciel malveillant est intentionnellement conçu pour se déguiser dans des dossiers tels que « Program Files\Dell\CommandUpdate » et utiliser des domaines de commande et de contrôle tels que « dell-a[.]ntp-update[. ]com ».
Protéger le bureau distant contre RDSealer
La chose la plus importante que vous puissiez faire pour vous protéger contre RDSealer est d’être prudent lorsque vous naviguez sur le Web. Bien qu'il n'y ait pas beaucoup de détails sur la façon dont RDStealer se propage au-delà des connexions RDP, des précautions doivent être prises pour éviter presque tout vecteur d'infection.
Utiliser l'authentification multifacteur
Vous pouvez améliorer la sécurité des connexions RDP en mettant en œuvre les meilleures pratiques telles que l'authentification multifacteur (MFA). En exigeant une méthode d'authentification secondaire pour chaque connexion, vous pouvez empêcher de nombreux types d'attaques RDP. D'autres bonnes pratiques, comme la mise en œuvre de l'authentification au niveau du réseau (NLA) et l'utilisation de VPN , peuvent également rendre votre système moins attrayant et moins vulnérable aux compromissions.
Crypter et sauvegarder les données
RDStealer vole efficacement les données - et en plus du texte brut trouvé dans le presse-papiers et obtenu à partir de l'enregistrement au clavier, il recherche également des fichiers tels que les bases de données de mots de passe KeePass. Bien qu'il n'y ait aucun point positif aux données volées, vous pouvez être assuré que toute donnée volée est difficile à gérer si vous faites preuve de diligence dans le cryptage de vos fichiers.
Le cryptage de fichiers est une tâche relativement simple avec les bonnes instructions. Il est également extrêmement efficace pour protéger les fichiers, car les pirates devront suivre un processus difficile pour décrypter les fichiers cryptés. Bien qu'il soit possible de décrypter des fichiers, les pirates sont plus susceptibles de se tourner vers des cibles plus faciles - et par conséquent, vous êtes totalement sans compromis. En plus du cryptage, vous devez également sauvegarder régulièrement vos données pour éviter de perdre l'accès ultérieurement.
Configurer correctement le logiciel antivirus
La configuration correcte du logiciel antivirus est également importante si vous souhaitez protéger votre système. RDStealer profite du fait que de nombreux utilisateurs excluront des dossiers entiers au lieu de fichiers spécifiquement suggérés en créant des fichiers malveillants dans ces dossiers. Si vous souhaitez que votre logiciel antivirus trouve et supprime RDStealer, vous devez modifier les exclusions pour inclure uniquement les fichiers spécifiquement recommandés.
Gérer les exceptions antivirus dans Bitdefender
Pour référence, RDStealer crée des fichiers malveillants dans des dossiers (et leurs sous-dossiers respectifs), notamment :
Vous devez ajuster les exclusions de votre analyse antivirus conformément aux directives recommandées par Microsoft. Excluez uniquement les types de fichiers et dossiers spécifiques répertoriés et n’excluez pas les dossiers parents. Vérifiez que votre logiciel antivirus est à jour et effectuez une analyse complète du système.
Mettre à jour les dernières nouvelles en matière de sécurité
Bien que l'équipe de développement de Bitdefender ait permis aux utilisateurs de protéger leurs systèmes contre RDStealer, ce n'est pas le seul malware dont vous devez vous soucier - et il est toujours possible qu'il évolue de manière nouvelle et surprenante. L’une des mesures les plus importantes que vous puissiez prendre pour protéger vos systèmes est de rester informé des dernières nouvelles concernant les menaces émergentes en matière de cybersécurité.
Comme beaucoup d'autres plates-formes, Windows dispose également d'un gestionnaire de presse-papiers spécialisé appelé « Historique du presse-papiers ».
La version macOS Big Sur a été officiellement annoncée lors de la récente conférence WWDC. Et vous pouvez complètement amener l'interface de macOS Big Sur sur Windows 10 avec l'outil Rainmeter.
RDStealer est un malware qui tente de voler des informations d'identification et des données en infectant un serveur RDP et en surveillant ses connexions à distance.
Il est peut-être temps de dire au revoir à l'Explorateur de fichiers et d'utiliser un logiciel de gestion de fichiers tiers ? Voici les 7 meilleures alternatives à l’Explorateur de fichiers Windows.
LoRaWAN ou Long Range Wireless Area Network est utile pour la communication entre des appareils à faible consommation sur de longues distances.
En accédant aux options de démarrage avancées, vous pouvez réinitialiser Windows 10, restaurer Windows 10, restaurer Windows 10 à partir d'un fichier image que vous avez créé précédemment, corriger les erreurs de démarrage, ouvrir l'invite de commande pour exécuter des options différentes, ouvrir les paramètres UEFI, modifier les paramètres de démarrage. ..
Chaque fois que vous vous inscrivez à un nouveau service, vous pouvez choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. Mais faut-il le faire ?
DNS Google 8.8.8.8 8.8.4.4 est l'un des DNS que de nombreux utilisateurs choisissent d'utiliser, notamment pour accélérer l'accès au réseau ou l'accès bloqué à Facebook.
Si vous utilisez Microsoft Edge sur un ordinateur Windows 10 partagé et que vous souhaitez garder votre historique de navigation privé, vous pouvez faire en sorte qu'Edge se lance toujours en mode InPrivate.
Il existe deux types de chiffrement couramment déployés aujourd’hui : le chiffrement symétrique et asymétrique. La différence fondamentale entre ces deux types de chiffrement réside dans le fait que le chiffrement symétrique utilise une clé unique pour les opérations de chiffrement et de déchiffrement.
