État mystérieux volant des données via un malware RDP

Dans un nouveau rapport, la société de cybersécurité Bitdefender avertit des malwares spécifiquement conçus pour voler des données aux utilisateurs du « Remote Desktop Protocol » (protocole de bureau à distance).

Dans un récent rapport, Bitdefender avertit des nouveaux malwares conçus spécifiquement pour voler les données des utilisateurs du Remote Desktop Protocol (RDP). Ce type de cyber-attaque a gagné en popularité depuis la pandémie de Covid-19.

Cette découverte fait partie d’une enquête plus large sur les pratiques d’espionnage en Asie du Sud-Est. Ces attaques sont connues sous le nom de code RedCloud. Cette opération est ouverte depuis le début de l’année dernière et montre le niveau élevé qui indique souvent l’implication d’un pays. Toutefois, les chercheurs n’ont pas encore pu identifier directement un coupable.

Les criminels

Le malware, baptisé RDStealer, est installé sur des serveurs et contrôle les connexions RDP entrantes lorsque le mappage des lecteurs clients (« client drive mapping »)est activé. Les utilisateurs connectés sont alors infectés par un autre logiciel malveillant, Logutil backdoor, et les pirates volent les données dont ils ont besoin.

RDStealer utilise la technique avancée du parachargement de DLL. Il s’agit d’une méthode très sournoise qui consiste à lier plusieurs DLL, puis à déclencher le parachargement (en d’autres termes, à déplacer des fichiers) en manipulant Windows Management Instrumentation. Les attaquants codent tous les logiciels malveillants dans le langage de programmation Go afin qu’ils puissent manipuler différents systèmes.

Selon Bitdefender, c’est la première fois qu’un malware réalise une telle attaque dans la pratique. Cela montre à nouveau que les cybercriminels sont de plus en plus sophistiqués et que la sécurité reste d’une extrême importance.

Priorité à la sécurité

L’entreprise est convaincue qu’une structure de sécurité profonde, à plusieurs couches, reste la meilleure solution.

Un premier facteur important est la prévention. Une organisation peut prendre de nombreuses mesures à cet effet :

  • mettre à jour régulièrement
  • gestion globale des risques
  • corriger immédiatement les vulnérabilités
  • limiter le nombre de points d’accès à un système
  • évaluer et adapter si nécessaire la politique d’accès

La sécurité elle-même est la deuxième étape, veillez à ce qu’elle soit toujours à jour et rendez tous les points d’accès possibles automatisés ou les systèmes anti-virus les plus récents automatisés. Le système Microsoft Defender, propre à Windows, devrait certainement en faire partie.

En cas d’attaque, il est important que les capacités de détection et de réaction de votre système soient déclenchées le plus rapidement possible. Plus tôt une attaque est détectée, plus vite votre système peut lancer une défense ou une contre-attaque. Le monde de la technologie évolue rapidement, il est donc essentiel de continuer à investir dans la cybersécurité.

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.