22.10.2024 17:03

Auch ein .rdp File kann gefährlich sein

Heute wurde in ganz Europa eine Spear-Phishing Kampagne beobachtet, bei der es darum geht, dass der Empfänger ein angehängtes RDP File öffnen soll.

Warum ist das gefährlich?

• Credential-Phishing: Das Ziel soll dazu gebracht werden, seine Zugangsdaten am RDP-Server der Angreifer einzugeben.
• Filesystem Access: Die RDP Files spezifizieren, dass das lokale Filesystem auch am RDP-Server verfügbar sein soll. Damit könnte es möglich sein, dass die Tätergruppe sowohl Dateien wegkopiert, als auch Malware auf das lokale System einbringt.

Empfehlungen:

• Blockieren sie auf Mail und Proxy-Ebene das Einbringen von .rdp files - diese sollten ähnlich wie .lnk behandelt werden.
• Blockieren sie ausgehende RDP Verbindungen auf dem Perimeter - wenn diese Funktionalität gebraucht wird, dann sollten nur einzelne Ziele freigeschalten werden.
• Informieren Sie Ihre Mitarbeiter, dass .rdp Files nicht harmlos sind.

Einige Methoden zum Identifizieren und Blockieren von .rdp files finden Sie hier. Unsere Kollegen von CERT-UA haben dazu mehr Details veröffentlicht.