Malware RDStealer adalah ancaman yang mencakup hampir semua yang dimanfaatkan melalui Remote Desktop Protocol (RDP). Inilah yang perlu Anda ketahui.

Proses mengidentifikasi ancaman keamanan siber baru dan yang muncul tidak pernah berakhir—dan pada Juni 2023, BitDefender Labs menemukan malware yang telah menargetkan sistem yang menggunakan koneksi desktop jarak jauh sejak saat itu 2022.

Jika Anda menggunakan Remote Desktop Protocol (RDP), menentukan apakah Anda telah menjadi target, dan apakah data Anda telah dicuri, sangatlah penting. Untungnya, ada beberapa metode yang dapat Anda gunakan untuk mencegah infeksi dan menghapus RDStealer dari PC Anda.

Apa itu RDStealer? Sudahkah Saya Menjadi Sasaran?

RDStealer adalah malware yang mencoba mencuri kredensial dan data login dengan menginfeksi server RDP dan memantau koneksi jarak jauhnya. Itu menyebar bersama Logutil, pintu belakang yang digunakan untuk menginfeksi desktop jarak jauh dan memungkinkan akses terus-menerus melalui instalasi RDStealer sisi klien.

instagram viewer

Jika malware mendeteksi bahwa mesin jarak jauh telah terhubung ke server dan Pemetaan Drive Klien (CDM) diaktifkan, itu memindai apa yang ada di mesin dan mencari file seperti basis data kata sandi KeePass, kata sandi yang disimpan browser, dan SSH pribadi kunci. Itu juga mengumpulkan penekanan tombol dan data clipboard.

RDStealer dapat menargetkan sistem Anda terlepas dari apakah itu sisi server atau sisi klien. Saat RDStealer menginfeksi jaringan, ia membuat file berbahaya di folder seperti "%WinDir%\System32" dan "%PROGRAM-FILES%" yang biasanya dikecualikan dalam pemindaian malware sistem penuh.

Malware menyebar melalui beberapa vektor, menurut Bitdefender. Selain dari vektor serangan CDM, infeksi RDStealer dapat berasal dari iklan web yang terinfeksi, lampiran email berbahaya, dan kampanye rekayasa sosial. Grup yang bertanggung jawab atas RDStealer tampaknya sangat canggih, sehingga vektor serangan baru—atau bentuk RDStealer yang lebih baik—kemungkinan besar akan muncul di masa mendatang.

Jika kamu gunakan desktop jarak jauh melalui RDP, taruhan teraman Anda adalah menganggap bahwa RDStealer mungkin telah menginfeksi sistem Anda. Meskipun virus terlalu pintar untuk diidentifikasi secara manual dengan mudah, Anda dapat menangkal RDStealer dengan meningkatkan keamanan protokol di server dan sistem klien Anda, dan dengan melakukan pemindaian antivirus sistem lengkap tanpa perlu pengecualian.

Anda sangat rentan terhadap infeksi dari RDStealer jika Anda menggunakan sistem Dell, karena tampaknya secara khusus menargetkan komputer buatan Dell. Malware tersebut sengaja dirancang untuk menyamarkan dirinya di direktori seperti 'Program Files\Dell\CommandUpdate' dan menggunakan domain command-and-control seperti 'dell-a[.]ntp-update[.]com".

Amankan Remote Desktop Anda Terhadap RDStealer

Hal terpenting yang dapat Anda lakukan untuk melindungi diri dari RDStealer adalah berhati-hati di web. Meskipun tidak banyak hal spesifik yang diketahui tentang bagaimana RDStealer menyebar selain dari koneksi RDP, kehati-hatian sudah cukup untuk menghindari sebagian besar vektor infeksi.

Gunakan Otentikasi Multi-Faktor

Anda dapat meningkatkan keamanan koneksi RDP dengan menerapkan praktik terbaik seperti multi-factor authentication (MFA). Dengan meminta metode autentikasi sekunder untuk setiap login, Anda bisa mencegah banyak jenis peretasan RDP. Praktik terbaik lainnya, seperti menerapkan autentikasi tingkat jaringan (NLA) dan menggunakan VPN, juga dapat membuat sistem Anda kurang menarik dan mudah dilanggar.

Enkripsi dan Cadangkan Data Anda

RDStealer mencuri data secara efektif—dan selain dari teks biasa yang ditemukan di clipboard dan diperoleh dari keylogging, RDStealer juga mencari file seperti KeePass Password Databases. Meskipun tidak ada sisi positif dari data yang dicuri, Anda dapat yakin bahwa data yang dicuri sulit untuk dikerjakan jika Anda rajin mengenkripsi file Anda.

Enkripsi file adalah hal yang relatif sederhana untuk dilakukan dengan panduan yang tepat. Ini juga sangat efektif dalam melindungi file, karena peretas perlu melakukan proses yang sulit untuk mendekripsi file terenkripsi. Meskipun mungkin untuk mendekripsi file, peretas lebih cenderung beralih ke target yang lebih mudah — dan sebagai hasilnya, Anda mungkin tidak mengalami pelanggaran sama sekali. Selain enkripsi, Anda juga harus mencadangkan data secara rutin untuk mencegah kehilangan akses di kemudian hari.

Konfigurasikan Antivirus Anda dengan Benar

Mengonfigurasi antivirus Anda dengan benar juga penting jika Anda ingin melindungi sistem Anda. RDStealer memanfaatkan fakta bahwa banyak pengguna akan mengecualikan seluruh direktori alih-alih file khusus yang direkomendasikan dengan membuat file berbahaya di dalam direktori ini. Jika Anda ingin antivirus menemukan dan menghapus RDStealer, Anda harus melakukannya ubah pengecualian pemindai Anda untuk hanya menyertakan file yang direkomendasikan tertentu.

Sebagai referensi, RDStealer membuat file berbahaya di direktori (dan subdirektori masing-masing) yang meliputi:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\keamanan\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostik
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md perangkat lunak penyimpanan\md utilitas konfigurasi\

Anda harus menyesuaikan pengecualian pemindaian virus sesuai dengan pedoman yang direkomendasikan oleh Microsoft. Kecualikan hanya jenis file dan direktori tertentu yang disebutkan dan jangan kecualikan direktori induk. Pastikan antivirus Anda mutakhir dan selesaikan pemindaian sistem lengkap.

Ikuti terus Berita Keamanan Terbaru

Sementara kerja keras tim di Bitdefender telah memungkinkan pengguna melindungi sistem mereka dari RDStealer, itu bukan satu-satunya malware yang harus Anda khawatirkan—dan selalu ada kemungkinan malware akan berkembang menjadi baru dan tidak terduga cara. Salah satu langkah terpenting yang dapat Anda ambil untuk melindungi sistem Anda adalah mengikuti berita terbaru tentang ancaman keamanan siber yang muncul.

Lindungi Desktop Jarak Jauh Anda

Sementara ancaman baru muncul setiap hari, Anda tidak harus pasrah menjadi korban virus berikutnya. Anda dapat melindungi desktop jarak jauh Anda dengan mempelajari lebih lanjut tentang vektor serangan potensial, meningkatkan protokol keamanan di sistem Anda, dan berinteraksi dengan konten di web dari fokus keamanan perspektif.