Le processus d’identification des nouvelles menaces de cybersécurité n’est jamais terminé. En juin 2023, BitDefender Labs a découvert un malware qui cible les systèmes utilisant des connexions de bureau à distance depuis 2022.
Si vous utilisez le protocole RDP (Remote Desktop Protocol), il est essentiel de déterminer si vous avez été pris pour cible et si vos données ont été volées. Heureusement, il existe quelques méthodes pour prévenir l’infection et supprimer RDStealer de votre PC.
Qu’est-ce que RDStealer ? Ai-je été ciblé ?
RDStealer est un logiciel malveillant qui tente de voler les identifiants de connexion et les données en infectant un serveur RDP et en surveillant ses connexions à distance. Il se déploie en même temps que Logutil, une porte dérobée utilisée pour infecter les bureaux distants et permettre un accès persistant par le biais d’une installation de RDStealer côté client.
Si le logiciel malveillant détecte qu’une machine distante s’est connectée au serveur et que le Client Drive Mapping (CDM) est activé, il analyse ce qui se trouve sur la machine et recherche des fichiers tels que les bases de données de mots de passe KeePass, les mots de passe enregistrés dans le navigateur et les clés privées SSH. Il collecte également les frappes au clavier et les données du presse-papiers.
RDStealer peut cibler votre système, qu’il soit côté serveur ou côté client. Lorsque RDStealer infecte un réseau, il crée des fichiers malveillants dans des dossiers tels que « %WinDir%\System32 » et « %PROGRAM-FILES% » qui sont généralement exclus des analyses complètes du système.
Selon Bitdefender, le malware se propage par le biais de plusieurs vecteurs. Outre le vecteur d’attaque CDM, les infections par RDStealer peuvent provenir de publicités web infectées, de pièces jointes d’emails malveillants et de campagnes d’ingénierie sociale. Le groupe responsable de RDStealer semble particulièrement sophistiqué, de sorte que de nouveaux vecteurs d’attaque – ou des formes améliorées de RDStealer – sont susceptibles d’émerger à l’avenir.
Si vous utilisez des bureaux à distance via RDP, le plus sûr est de supposer que RDStealer a pu infecter votre système. Bien que le virus soit trop intelligent pour être facilement identifié manuellement, vous pouvez vous prémunir contre RDStealer en améliorant les protocoles de sécurité de votre serveur et de vos systèmes clients, et en effectuant une analyse antivirus complète du système, sans exclusions inutiles.
Vous êtes particulièrement vulnérable à une infection par RDStealer si vous utilisez un système Dell, car il semble cibler spécifiquement les ordinateurs fabriqués par Dell. Le malware a été délibérément conçu pour se dissimuler dans des répertoires tels que « Program Files », « Dell », « CommandUpdate » et utilise des domaines de commande et de contrôle tels que « dell-a ».[.]ntp-update[.]com ».
Sécurisez votre bureau à distance contre RDStealer
La chose la plus importante que vous puissiez faire pour vous protéger contre RDStealer est d’être prudent sur le web. Bien que l’on ne connaisse pas beaucoup de détails sur la manière dont RDStealer se propage en dehors des connexions RDP, la prudence suffit à éviter la plupart des vecteurs d’infection.
Utiliser l’authentification multi-facteurs
Vous pouvez améliorer la sécurité des connexions RDP en mettant en œuvre des bonnes pratiques telles que l’authentification multifactorielle (MFA). En exigeant une méthode d’authentification secondaire pour chaque connexion, vous pouvez empêcher de nombreux types de piratages RDP. D’autres bonnes pratiques, comme la mise en œuvre de l’authentification au niveau du réseau (NLA) et l’utilisation de VPN, peuvent également rendre vos systèmes moins attrayants et moins faciles à pirater.
Chiffrez et sauvegardez vos données
RDStealer vole des données de manière efficace – outre le texte en clair trouvé dans les presse-papiers et obtenu par keylogging, il recherche également des fichiers tels que les bases de données de mots de passe KeePass. Bien qu’il n’y ait aucun avantage à se faire voler des données, vous pouvez être certain que les données volées sont difficiles à utiliser si vous vous efforcez de crypter vos fichiers.
Le cryptage des fichiers est une opération relativement simple à réaliser avec le bon guide. Il est également extrêmement efficace pour protéger les fichiers, car les pirates devront entreprendre un processus difficile pour décrypter les fichiers cryptés. Bien qu’il soit possible de décrypter des fichiers, les pirates sont plus susceptibles de passer à des cibles plus faciles et, par conséquent, vous pourriez ne pas souffrir du tout de la violation. Outre le cryptage, vous devriez également sauvegarder régulièrement vos données pour éviter d’en perdre l’accès par la suite.
Configurez correctement votre antivirus
La configuration correcte de votre antivirus est également cruciale si vous voulez protéger votre système. RDStealer profite du fait que de nombreux utilisateurs excluent des répertoires entiers au lieu des fichiers spécifiques recommandés pour créer des fichiers malveillants dans ces répertoires. Si vous voulez que votre antivirus trouve et supprime RDStealer, vous devez modifier les exclusions de votre scanner pour n’inclure que des fichiers recommandés spécifiques.
Pour référence, RDStealer crée des fichiers malveillants dans des répertoires (et leurs sous-répertoires respectifs) qui incluent :
- %WinDir%\System32\
- %WinDir%\System32\wbem
- %WinDir%\security\database
- %PROGRAM_FILES%\f-secure\psb\diagnostics
- %PROGRAM_FILES_x86%\dell\commandupdate\
- %PROGRAM_FILES%\dell\c Logiciel de stockage\c Utilitaire de configuration\c
Vous devez ajuster les exclusions de l’analyse antivirus conformément aux directives recommandées par Microsoft. N’excluez que les types de fichiers et les répertoires spécifiques indiqués et n’excluez pas les répertoires parents. Vérifiez que votre antivirus est à jour et procédez à une analyse complète du système.
Tenez-vous au courant des dernières nouvelles en matière de sécurité
Bien que le travail acharné de l’équipe de Bitdefender ait permis aux utilisateurs de protéger leurs systèmes contre RDStealer, ce n’est pas le seul malware dont vous devez vous préoccuper, et il y a toujours un risque qu’il évolue de façon nouvelle et inattendue. L’une des mesures les plus importantes que vous puissiez prendre pour protéger votre système est de vous tenir au courant des dernières nouvelles sur les menaces émergentes en matière de cybersécurité.
Protégez votre bureau à distance
Bien que de nouvelles menaces apparaissent chaque jour, vous ne devez pas vous résigner à être victime du prochain virus. Vous pouvez protéger votre bureau à distance en vous renseignant sur les vecteurs d’attaque potentiels, en améliorant les protocoles de sécurité de vos systèmes et en interagissant avec le contenu du web dans une perspective de sécurité.
