התוכנה הזדונית RDStealer מעוררת עניין לאחרונה בקרב חוקרי סייבר. מדובר ב-malware שתפקידה לגנוב מידע באופן אוטומטי מכוננים המשותפים באמצעות שליטה מרחוק (Remote Desktop). את קמפיין המתקפות זיהו לראשונה Bitdefender Labs, והם עוקבים אחרי הרושעה מאז 2022. לדברי החברה, התוקפים מבצעים פריצות כבר מ-2021, אולם בתחילת הדרך השתמשו בכלים נפוצים וסטנדרטיים, ורק לאחרונה פיתחו את RDStealer.
Remote Desktop Protocol הוא פרוטוקול של מיקרוסופט (RDP), המאפשר למשתמשים להתחבר מרחוק למחשבים עם "חלונות" ולהשתמש בהם כאילו היו מול המחשב. זה כלי מאוד שימושי לתמיכה טכנית וגם לעבודה מרחוק וניהול שרתים.
שרתי RDP שחשופים לאינטרנט מטורגטים באופן תדיר, מכיוון שהם מהווים נקודת התחלה טובה למתקפה על רשת ארגונית. ברגע שלתוקפים יש גישה, הם יכולים לחדור עמוק יותר אל תוך הרשת, לגנוב מידע, להשתיל כופרות וכו'.
לאחרונה נחשפה מתקפה משמעותית נגד חברת IT אסיאתית, שנמשכה מעל שנה, במטרה לגנוב פרטים מזהים ומידע. המתקפה, שכונתה RedClouds, החלה ב-2022 וככל הנראה מקורה בסין. בהתחלה, השתמשו התוקפים בכלים קיימים כמו AsyncRAT ו-Cobalt Strike, ואז עברו ל-RDStealer. טכניקה מדאיגה אחת שבה התוכנה מתחמקת מגילוי, הוא השימוש בתיקיות המערכת של Windows כמו System32 ו-Program Files – אלה תיקיות שלעתים תוכנות ההגנה לא סורקות. במקרה הזה, היה שימוש בנרחב בתת-תיקייה השייכת לתוכנות של Dell. על פי ביט דיפנדר, המחשבים הנגועים יוצרו על ידי חברת דל, כך שייתכן שהתוקפים בחרו בכוונה בתיקייה הזו.
RDStealer אוספת מידע שנאגר ב-Clipboard (כשעושים COPY), וכוללת גם keylogger. עדיין לא ברור איך הודבקו שרתי ה-RDP עצמם. תכונה ייחודית נוספת של הרושעה, היא היכולת שלה לנטר חיבורי RDP נכנסים, ולהדביק מחשב מרוחק אם האופציה למיפוי כוננים מופעלת בו. מידע נוסף שהתוכנה יכולה לגנוב כולל היסטוריית גלישה ומפתחות הצפנה.
