Noticias - Actualidad
23 junio 2023

BITDEFENDER descubre un nuevo malware dirigido a conexiones de escritorio remoto

RDStealer es un malware del lado del servidor que se conecta al subsistema Instrumental de Administración de Windows (WMI).

Bitdefender acaba de publicar una investigación sobre una sofisticada campaña de espionaje que utiliza un nuevo malware denominado RDStealer. El concepto teórico de este método de ataque ya se conocía, sin embargo, es la primera vez que se utiliza este malware en la práctica.

RDStealer es un malware del lado del servidor que se conecta al subsistema Instrumental de Administración de Windows (WMI). Escrito en lenguaje Go y basado en complejas técnicas de carga lateral de DLL, está diseñado para permanecer sigiloso, recopilando y filtrando continuamente información confidencial. Lo que hace que RDStealer sea único es su capacidad para comprometer las conexiones descendentes de los clientes de Protocolo de Escritorio Remoto (RDP). Cuando se detecta una conexión RDP entrante que cumple ciertos criterios, el host RDP comprometido infecta al cliente que se conecta con una puerta trasera llamada Logutil e intenta filtrar datos valiosos como credenciales o certificados.

Bitdefender insta a todas las organizaciones a estar en alerta máxima, especialmente aquellas con operaciones en el este de Asia, donde se detectó RDStealer por primera vez. A medida que el trabajo remoto continúa proliferando, las mismas técnicas utilizadas por RDStealer se pueden aplicar para impactar en otras soluciones de acceso remoto con una mínima o ninguna modificación.

Principales conclusiones:

  • Bitdefender ha descubierto una sofisticada campaña de espionaje que comenzó al menos a principios de 2022 y sigue activa. La operación está dirigida a empresas y organizaciones en el este de Asia.
  • Bitdefender no ha identificado a un actor de amenazas específico, sin embargo, la sofisticación y los objetivos apuntan a un APT con sede en China.
  • La campaña se dirige a las cargas de trabajo de Protocolo de Escritorio Remoto (RDP) mediante el uso de un malware novedoso denominado RDStealer, una puerta trasera denominada Logutil y técnicas de carga lateral de DLL con el objetivo de exfiltración de datos.
  • La defensa contra ataques modernos (como RDStealer) debe incorporar una arquitectura de defensa en profundidad e incluir prevención, detección y respuesta de amenazas a través de soluciones como XDR / EDR o servicios de seguridad gestionada como MDR.

Los expertos de Bitdefender están disponibles para ampliar esta información.

La investigación de Bitdefender puede consultarse en
http://businessinsights.bitdefender.com/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads

¿Te ha parecido útil este contenido?