banner
Centro de notícias
Aprimorando constantemente nossas técnicas e qualidade para nos mantermos atualizados com as tendências do setor.

Novo malware RDStealer rouba unidades compartilhadas na Área de Trabalho Remota

Mar 29, 2024

Uma campanha de ciberespionagem e hackers rastreada como ‘RedClouds’ usa o malware personalizado ‘RDStealer’ para roubar automaticamente dados de unidades compartilhadas por meio de conexões de área de trabalho remota.

A campanha maliciosa foi descoberta pelo Bitdefender Labs, cujos pesquisadores têm visto os hackers visando sistemas no Leste Asiático desde 2022.

Embora não tenham conseguido atribuir a campanha a actores de ameaças específicos, mencionam que os interesses dos actores de ameaças se alinham com os da China e têm a sofisticação de um nível de APT patrocinado pelo Estado.

Além disso, a Bitdefender diz que os hackers em particular deixaram vestígios de atividade desde pelo menos 2020, inicialmente usando ferramentas prontas para uso e mudando para malware personalizado no final de 2021.

O Remote Desktop Protocol (RDP) é um protocolo proprietário da Microsoft que permite aos usuários se conectar remotamente a desktops Windows e usá-los como se estivessem na frente do computador.

Este recurso é extremamente útil para diversas tarefas, incluindo trabalho remoto, suporte técnico e de TI, administração de sistemas e gerenciamento de servidores.

Os servidores RDP expostos à Internet são alguns dos serviços online mais visados, pois fornecem uma base para uma rede corporativa. Depois de obterem acesso, os agentes de ameaças podem usar essa base para se espalhar lateralmente pela rede corporativa em roubo de dados e ataques de ransomware.

O Protocolo de Área de Trabalho Remota inclui um recurso chamado ‘redirecionamento de dispositivo’, que permite conectar unidades locais, impressoras, área de transferência do Windows, portas e outros dispositivos ao host remoto, que ficam então acessíveis em suas sessões de área de trabalho remota.

Esses recursos compartilhados são acessados ​​por meio de um compartilhamento de rede especial '\\tsclient' (cliente de servidor de terminal) que pode então ser mapeado para letras de unidade em sua conexão RDP.

Por exemplo, se a unidade C:\ local fosse compartilhada por meio de redirecionamento de dispositivo, ela seria acessível como o compartilhamento '\\tsclient\c' na sessão RDP, que pode então ser usada para acessar arquivos armazenados localmente a partir da área de trabalho remota do Windows .

Os agentes da ameaça infectam servidores de desktop remotos com um malware RDStealer personalizado que aproveita esse recurso de redirecionamento de dispositivo. Ele faz isso monitorando conexões RDP e roubando automaticamente dados de unidades locais assim que elas estiverem conectadas ao servidor RDP.

Os cinco módulos que compõem o RDStealer são um keylogger, um estabelecimento de persistência, um módulo de teste de roubo e exfiltração de dados, uma ferramenta de captura de conteúdo da área de transferência e um controle de funções de criptografia/descriptografia, registro e utilitários de manipulação de arquivos.

Após a ativação, o RDStealer entra em um loop infinito de chamada da função "diskMounted", que verifica a disponibilidade das unidades C, D, E, F, G ou H nos compartilhamentos de rede \\tsclient. Se encontrar algum, ele notifica o servidor C2 e inicia a exfiltração de dados do cliente RDP conectado.

Vale a pena notar que os locais e extensões de nome de arquivo que o malware enumera nas unidades C:\ incluem o banco de dados de senhas KeePass, chaves privadas SSH, cliente Bitvise SSH, MobaXterm, conexões mRemoteNG, etc., indicando claramente que os invasores estão atrás de credenciais que possam uso para movimento lateral.

Em todas as outras unidades, o RDStealer verificará tudo, com algumas exceções que provavelmente não hospedarão dados valiosos.

O Bitdefender não tem informações sobre como os Servidores de Área de Trabalho Remota foram infectados, mas descobriu que o malware foi armazenado nas seguintes pastas:

“Como parte da tática de evasão, os agentes de ameaças usaram pastas que são menos suspeitas de conter malware e são frequentemente excluídas da verificação por soluções de segurança”, explica BitDefender.

Todos os dados roubados do dispositivo comprometido são armazenados localmente como strings criptografadas no arquivo “C:\users\public\log.log” até que sejam transmitidos aos servidores dos invasores.

A etapa final da execução do RDStealer é ativar dois arquivos DLL, o backdoor Logutil ("bithostw.dll") e seu carregador ("ncobjapi.dll").