Descubierto un malware dirigido a conexiones de escritorio remoto
- Actualidad
Bitdefender acaba de publicar una investigación sobre una sofisticada campaña de espionaje que utiliza un nuevo malware denominado RDStealer. Esta comenzó al menos a principios de 2022 y sigue activa, por lo que la firma de ciberseguridad insta a las organizaciones a estar en alerta máxima, especialmente aquellas con operaciones en el este de Asia.
RDStealer es un malware del lado del servidor que se conecta al subsistema Instrumental de Administración de Windows (WMI). Escrito en lenguaje Go y basado en complejas técnicas de carga lateral de DLL, está diseñado para permanecer sigiloso, recopilando y filtrando continuamente información confidencial.
Lo que hace que RDStealer sea único es su capacidad para comprometer las conexiones descendentes de los clientes de Protocolo de Escritorio Remoto (RDP). Cuando se detecta una conexión RDP entrante que cumple ciertos criterios, el host RDP comprometido infecta al cliente que se conecta con una puerta trasera llamada Logutil e intenta filtrar datos valiosos como credenciales o certificados.
El especialista no ha identificado a un actor de amenazas específico, sin embargo, la sofisticación y los objetivos apuntan a un APT con sede en China.Bitdefender insta a todas las organizaciones a estar en alerta máxima, especialmente aquellas con operaciones en el este de Asia, donde se detectó RDStealer por primera vez. A medida que el trabajo remoto continúa proliferando, las mismas técnicas utilizadas por RDStealer se pueden aplicar para impactar en otras soluciones de acceso remoto con una mínima o ninguna modificación.