Il noto antivirus Bitdefender ha recentemente individuato un nuovo malware in grado di estrarre informazioni e dati sensibili da un endpoint senza farsi individuare dall’utente.
L’agente malevolo, denominato RDStealer, è stato utilizzato nel contesto di un’operazione di spionaggio in Asia nel corso del 2022. Sebbene gli esperti di sicurezza non abbiano individuato con precisione gli autori del malware, sembra che questi possano essere cittadini cinesi.
RDStealer lavora sulle connessioni RDP (Remote Desktop Protocol), sfruttando una backdoor nota come Logutil. Attraverso essa, il malware è in grado di estrarre dal computer della vittima informazioni sensibili come password, copiare gli appunti dell’utente e svolgere altre attività invasive.
Gli esperti di Bitdefender hanno affermata come questa campagna risulta ben più avanzata dei classici attacchi DLL Sideloading.
RDStealer agisce su cartelle solitamente non scansionate dagli antivirus
Sia RDStealer che Logutil sono scritti in Go, un linguaggio di programmazione multipiattaforma. Ciò significa che il malware può funzionare su più sistemi operativi, rendendolo dunque ancora più pericoloso. A tal proposito, Bitfender afferma di aver trovato riferimenti sia a Linux che a ESXi durante l’analisi dei domini collegati all’attacco.
La società ha anche sottolineato come, sebbene il concetto alla base dietro alla strategia di attacco sia nota da tempo, questa è la prima volta che il malware che lo utilizza è stato analizzato all’opera.
Per evitare il rilevamento, i cybercriminali hanno realizzato un sistema che va ad installarsi in cartelle che sono comunemente escluse dal software di scansione, come ” %WinDir%\System32\ ” e ” %WinDir%\security\database ” .
Sebbene questo modus operandi sia al momento fuori dalla norma, Bitdefender ha messo in allerta gli utenti. Questa strategia, infatti, potrebbe presto diventare una prassi nel settore, causando non pochi problemi alle potenziali vittime.
Per rimanere protetti, l’azienda suggerisce di utilizzare una struttura di difesa multilivello, che comporti l’impiego di più misure di sicurezza sovrapposte. In questo modo, dove un rilevamento fallisce, gli altri strumenti dovrebbero risultare comunque efficaci.