Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
RDStealer utilizado para robar datos de servidores de escritorio remotos
Obanla Opeyemi
6 de julio de 2023 - Equipo de expertos TuxCare
Una campaña de ciberespionaje llamada RedClouds está utilizando un malware llamado RDStealer para robar datos de unidades compartidas a través de conexiones de Escritorio Remoto. La campaña se dirige a sistemas de Asia Oriental desde 2022 y se cree que está patrocinada por China.
RDStealer es un malware modular que consta de un keylogger, un establecedor de persistencia, un módulo de escenificación de robo y exfiltración de datos, una herramienta de captura de contenido del portapapeles y otra que controla las funciones de cifrado/descifrado, registro y utilidades de manipulación de archivos.
Si el malware detecta que una máquina remota se ha conectado al servidor y que Client Drive Mapping (CDM) está activado, analiza lo que hay en la máquina y busca archivos. También puede propagarse mediante publicidad web infectada, adjuntos maliciosos de correo electrónico y tácticas de ingeniería social, además del vector de ataque CDM. Dado que la banda que está detrás de RDStealer parece ser muy hábil, es probable que aparezcan nuevos vectores de ataque -o versiones superiores de RDStealer- en el futuro.
Cuando se activa, RDStealer comprueba la disponibilidad de las unidades C-H en los recursos compartidos de red del cliente RDP. Si encuentra alguna, lo notifica al servidor C2 y comienza a filtrar datos del cliente RDP conectado. El malware se dirige específicamente a las credenciales que pueden utilizarse para el movimiento lateral, como la base de datos de contraseñas KeePass, las claves privadas SSH, el cliente Bitvise SSH, MobaXterm y las conexiones mRemoteNG.
El malware utiliza defectos pasivos y activos de carga lateral de DLL para ejecutarse en un sistema infectado sin ser detectado, y utiliza Windows Management Instrumentation (WMI) como activador.
RDStealer se almacena en las carpetas %WinDir%\System32, %WinDir%\System32\wbem, %WinDir%\security\database, %PROGRAM_FILES%\f-secure\psb\diagnostics, %PROGRAM_FILES_x86%\dell\commandupdate, ans %PROGRAM_FILES%\dell\md storage software\md configuration utility.
La etapa final de la ejecución de RDStealer es activar dos archivos DLL: el backdoor Logutil ("bithostw.dll") y su cargador ("ncobjapi.dll").
El backdoor Logutil es un backdoor personalizado basado en Go que permite a los actores de la amenaza ejecutar remotamente comandos y manipular archivos en un dispositivo infectado. El backdoor Logutil se comunica directamente con el C2 y obtiene los comandos a ejecutar.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
