Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Le nouveau malware RDStealer vole les lecteurs partagés sur le bureau à distance
Une campagne de cyberespionnage et de piratage suivie sous le nom de « RedClouds » utilise le malware personnalisé « RDStealer » pour voler automatiquement les données des lecteurs partagés via les connexions Bureau à distance.
La campagne malveillante a été découverte par Bitdefender Labs, dont les chercheurs ont vu les pirates cibler les systèmes en Asie de l'Est depuis 2022.
Bien qu'ils n'aient pas été en mesure d'attribuer la campagne à des acteurs de menace spécifiques, ils mentionnent que les intérêts des acteurs de menace s'alignent sur ceux de la Chine et ont le niveau de sophistication d'un niveau APT parrainé par l'État.
De plus, Bitdefender affirme que ces pirates ont laissé des traces d’activité depuis au moins 2020, utilisant initialement des outils disponibles dans le commerce et passant à des logiciels malveillants personnalisés fin 2021.
Le Remote Desktop Protocol (RDP) est un protocole propriétaire de Microsoft qui permet aux utilisateurs de se connecter à distance aux bureaux Windows et de les utiliser comme s'ils étaient devant l'ordinateur.
Cette fonctionnalité est extrêmement utile pour diverses tâches, notamment le travail à distance, le support technique et informatique, l'administration système et la gestion des serveurs.
Les serveurs RDP exposés à Internet font partie des services en ligne les plus ciblés, car ils permettent de prendre pied sur un réseau d'entreprise. Une fois qu’ils y ont accès, les acteurs malveillants peuvent utiliser cette position pour se propager latéralement à travers le réseau de l’entreprise dans le cadre d’attaques de vol de données et de ransomwares.
Le protocole de bureau à distance inclut une fonctionnalité appelée « redirection de périphérique », qui vous permet de connecter vos lecteurs locaux, vos imprimantes, le presse-papiers Windows, vos ports et d'autres périphériques à l'hôte distant, qui sont ensuite accessibles dans vos sessions de bureau à distance.
Ces ressources partagées sont accessibles via un partage réseau spécial « \\tsclient » (client du serveur de terminal) qui peut ensuite être mappé aux lettres de lecteur dans votre connexion RDP.
Par exemple, si le lecteur C:\ local était partagé via la redirection de périphérique, il serait accessible en tant que partage « \\tsclient\c » dans la session RDP, qui peut ensuite être utilisé pour accéder aux fichiers stockés localement à partir du bureau Windows distant. .
Les acteurs malveillants infectent les serveurs de bureau distants avec un malware RDStealer personnalisé qui tire parti de cette fonctionnalité de redirection de périphérique. Pour ce faire, il surveille les connexions RDP et vole automatiquement les données des disques locaux une fois qu'ils sont connectés au serveur RDP.
Les cinq modules qui composent RDStealer sont un enregistreur de frappe, un établisseur de persistance, un module de préparation pour le vol de données et l'exfiltration, un outil de capture de contenu du presse-papiers et un module de contrôle des fonctions de cryptage/décryptage, de journalisation et de manipulation de fichiers.
Lors de l'activation, RDStealer entre dans une boucle infinie d'appel de la fonction "diskMounted", qui vérifie la disponibilité des lecteurs C, D, E, F, G ou H sur les partages réseau \\tsclient. S'il en trouve, il en informe le serveur C2 et commence à exfiltrer les données du client RDP connecté.
Il convient de noter que les emplacements et les extensions de nom de fichier que le malware énumère sur les lecteurs C:\ incluent la base de données de mots de passe KeePass, les clés privées SSH, le client Bitvise SSH, MobaXterm, les connexions mRemoteNG, etc., indiquant clairement que les attaquants recherchent des informations d'identification qu'ils peuvent utiliser pour le mouvement latéral.
Sur tous les autres disques, RDStealer analysera tout, à quelques exceptions près qui sont peu susceptibles d'héberger des données précieuses.
Bitdefender ne sait pas comment les serveurs de bureau à distance sont infectés en premier lieu, mais a découvert que le malware était stocké dans les dossiers suivants :
"Dans le cadre de tactiques d'évasion, les acteurs malveillants ont utilisé des dossiers moins soupçonnés de contenir des logiciels malveillants et qui sont souvent exclus de l'analyse par les solutions de sécurité", explique BitDefender.
Toutes les données volées sur l'appareil compromis sont stockées localement sous forme de chaînes cryptées dans le fichier « C:\users\public\log.log » jusqu'à ce qu'elles soient transmises aux serveurs des attaquants.
La dernière étape de l'exécution de RDStealer consiste à activer deux fichiers DLL, la porte dérobée Logutil ("bithostw.dll") et son chargeur ("ncobjapi.dll").