El nuevo malware RDStealer roba unidades compartidas en Escritorio remoto

Una campaña de ciberespionaje y piratería rastreada como 'RedClouds' utiliza el malware personalizado 'RDStealer' para robar automáticamente datos de unidades compartidas a través de conexiones de Escritorio remoto.

La campaña maliciosa fue descubierta por Bitdefender Labs, cuyos investigadores han visto a los piratas informáticos atacando sistemas en el este de Asia desde 2022.

Si bien no han podido atribuir la campaña a actores de amenazas específicos, mencionan que los intereses de los actores de amenazas se alinean con los de China y tienen la sofisticación de un nivel APT patrocinado por el estado.

Además, Bitdefender dice que los piratas informáticos en particular han dejado rastros de actividad desde al menos 2020, inicialmente utilizando herramientas disponibles en el mercado y cambiando a malware personalizado a finales de 2021.

El Protocolo de escritorio remoto (RDP) es un protocolo propietario de Microsoft que permite a los usuarios conectarse de forma remota a escritorios de Windows y usarlos como si estuvieran frente a la computadora.

Esta función es extremadamente útil para diversas tareas, incluido el trabajo remoto, el soporte técnico y de TI, la administración de sistemas y la gestión de servidores.

Los servidores RDP expuestos a Internet son algunos de los servicios en línea más específicos, ya que brindan un punto de apoyo a una red corporativa. Una vez que obtienen acceso, los actores de amenazas pueden utilizar este punto de apoyo para propagarse lateralmente por toda la red corporativa en robo de datos y ataques de ransomware.

El Protocolo de escritorio remoto incluye una función llamada "redirección de dispositivo", que le permite conectar sus unidades locales, impresoras, el portapapeles de Windows, puertos y otros dispositivos con el host remoto, a los que luego se puede acceder en sus sesiones de escritorio remoto.

Se accede a estos recursos compartidos a través de un recurso compartido de red especial '\\tsclient' (cliente de servidor terminal) que luego se puede asignar a letras de unidad en su conexión RDP.

Por ejemplo, si la unidad C:\ local se compartió mediante la redirección del dispositivo, sería accesible como el recurso compartido '\\tsclient\c' en la sesión RDP, que luego se puede usar para acceder a archivos almacenados localmente desde el escritorio remoto de Windows. .

Los actores de amenazas infectan servidores de escritorio remotos con un malware RDStealer personalizado que aprovecha esta función de redirección de dispositivos. Lo hace monitoreando las conexiones RDP y robando automáticamente datos de las unidades locales una vez que están conectadas al servidor RDP.

Los cinco módulos que componen RDStealer son un registrador de teclas, un establecidor de persistencia, un módulo de preparación de robo y exfiltración de datos, una herramienta de captura de contenido del portapapeles y uno que controla las funciones de cifrado/descifrado, registro y utilidades de manipulación de archivos.

Tras la activación, RDStealer ingresa en un bucle infinito de llamadas a la función "diskMounted", que verifica la disponibilidad de las unidades C, D, E, F, G o H en los recursos compartidos de red \\tsclient. Si encuentra alguno, notifica al servidor C2 y comienza a extraer datos del cliente RDP conectado.

Vale la pena señalar que las ubicaciones y extensiones de nombre de archivo que el malware enumera en las unidades C:\ incluyen la base de datos de contraseñas KeePass, claves privadas SSH, el cliente Bitvise SSH, MobaXterm, conexiones mRemoteNG, etc., lo que indica claramente que los atacantes buscan credenciales que puedan Úselo para movimientos laterales.

En todas las demás unidades, RDStealer escaneará todo, con algunas excepciones que probablemente no contengan datos valiosos.

Bitdefender no sabe cómo se infectan los servidores de escritorio remoto, pero descubrió que el malware estaba almacenado en las siguientes carpetas:

"Como parte de la táctica de evasión, los actores de amenazas utilizaron carpetas que son menos sospechosas de contener malware y que a menudo quedan excluidas del análisis por parte de las soluciones de seguridad", explica BitDefender.

Todos los datos robados del dispositivo comprometido se almacenan localmente como cadenas cifradas en el archivo "C:\users\public\log.log" hasta que se transmiten a los servidores de los atacantes.

La etapa final de la ejecución de RDStealer es activar dos archivos DLL, la puerta trasera Logutil ("bithostw.dll") y su cargador ("ncobjapi.dll").

La campaña RedClouds también utiliza una puerta trasera personalizada basada en Go llamada Logutil que permite a los actores de amenazas ejecutar comandos de forma remota y manipular archivos en un dispositivo infectado.

El malware utiliza fallas de carga lateral de DLL pasivas y activas para ejecutarse en un sistema vulnerado sin ser detectado y utiliza el Instrumental de administración de Windows (WMI) como activador de activación.

"Este implante es muy eficaz para establecer persistencia en el sistema", describe Bitdefender.

"Puede activarse mediante el servicio WMI (que se inicia automáticamente con múltiples acciones de recuperación) o mediante el proceso del host WMI".

"A menudo hay varias instancias del proceso de host WMI (WmiPrvSE.exe) ejecutándose, y hay varias formas en que se inicia este proceso (incluso mediante la interfaz DCOM para llamadas WMI remotas)".

Logutil se comunica directamente con el C2 y obtiene los comandos a ejecutar, como se explica en la siguiente tabla:

Los investigadores subrayan que el C2 de Logutil contiene referencias a ESXi y Linux, por lo que es probable que los actores de amenazas ya utilicen la versatilidad de Go para crear una puerta trasera multiplataforma.

Bitdefender ha compartido una lista completa de indicadores de compromiso en su informe, por lo que se recomienda a los defensores que tomen nota y apliquen múltiples capas de medidas de seguridad superpuestas.

Nuevo malware infecta enrutadores empresariales para robo de datos y vigilancia

El grupo de hackers Carderbee ataca a organizaciones de Hong Kong en un ataque a la cadena de suministro

CISA: Nueva puerta trasera de Whirlpool utilizada en hacks de Barracuda ESG

CISA: Nuevo malware submarino encontrado en dispositivos Barracuda ESG pirateados

La banda de ciberdelincuentes FIN8 ataca a organizaciones estadounidenses con el nuevo malware Sardonic