Il malware denominato RDStealer basato su complesse tecniche di sideloading di DLL è stato progettato per rimanere silente e raccogliere ed esfiltrare continuamente informazioni sensibili
Bitdefender Labs ha rilasciato una ricerca che mette in guardia da una sofisticata campagna di spionaggio che utilizza tecniche di malware mai osservate in precedenza, attiva almeno dall’inizio del 2022.
Bitdefender non ha attribuito uno specifico gruppo di criminali informatici, tuttavia, il livello di complessità e gli obiettivi sono coerenti con un APT con sede in Cina.
Il malware denominato RDStealer è un impianto lato server che si aggancia al sottosistema WMI (Windows Management Instrumentation). Scritto in linguaggio Go e basato su complesse tecniche di sideloading di DLL, è stato progettato per rimanere silenzioso e raccogliere ed esfiltrare continuamente informazioni sensibili.
Ciò che rende unico RDStealer è la sua capacità di compromettere le connessioni a valle dei client Remote Desktop Protocol (RDP). Quando viene rilevata una connessione RDP in entrata che soddisfa determinati criteri, l’host RDP compromesso infetta il client di connessione con un backdoor e tenta di esfiltrare dati preziosi come credenziali o certificati.
Bitdefender invita le aziende di qualsiasi dimensione ad elevare il livello di attenzione. Con il proliferare del telelavoro, le stesse tecniche utilizzate da RDStealer potrebbero essere applicate ad altre soluzioni di accesso remoto con modifiche minime o addirittura nessuna modifica.
Le strategie di protezione contro gli attacchi moderni (come RDStealer) dovrebbero incorporare un’architettura di difesa approfondita e includere la prevenzione, il rilevamento e la risposta alle minacce attraverso soluzioni come Extended Detection and Response (XDR), Endpoint Detection and Response (EDR) o un servizio di sicurezza gestito come Managed detection and response (MDR).
