Компания BI.ZONE представила масштабное исследование банковского трояна RTM, который является на сегодняшний день одним из наиболее распространённых.
В рамках «Исследования вредоносного ПО RTM» эксперты компании BI.ZONE рассказали об этапах проведения атаки, проанализировали RTM.Downloader и RTM.MainModule, изучили взаимодействие с C&C, выполнение дополнительных команд, алгоритм шифрования, дополнительные модули, способы получения IP-адресов управляющих серверов.
Распространение банковского трояна осуществляет одноименная хакерская группа, которую впервые заметили еще в 2015 году. По информации «Лаборатории Касперского», троян RTM в течение 2019 года атаковала около 22% пользователей от общего числа тех, кто стал жертвой банковских троянов. Поэтому вредонос расположился в ТОП-2 среди наиболее распространённого вредоносного ПО своего класса.
По состоянию на конец 2020 года RTM остается одним из наиболее активных банковских троянов в мире. Главной целью вредоносного софта являются специалисты банковских учреждений, занимающиеся финансовой деятельностью в сфере малого и среднего бизнеса. Средний размер одной кражи денежных средств – около 1,1 млн. рублей. При этом было несколько случаев хищения денег на 12 млн. рублей.
Ежедневно троян RTM атакует около 10 тыс. жертв из России, Беларуси, Украины, Казахстана. Лишь 2% атак приходится на другие страны мира.
Вредоносное ПО RTM написана на Delphi. При проведении атаки киберпреступники используют:
- RTM.Downloader. Софт, который доставляет основной модуль на атакованное устройство.
- RTM.MainModule. Основной модуль, собирающий первичные сведения о системе, находящийся в постоянном взаимодействии с сервером управления, загружающий дополнительные модули (при необходимости).
С начала 2019 года экспертами по информационной безопасности было выявлено около 500 образцов RTM.Downloader и RTM.MainModule, распространением которых занималась хакерская группа RTM.
В рамках исследования специалисты компании BI.ZONE пришли к выводу, что вредоносный софт RTM.MainModule представлена в виде качественно написанного инструмента, функциональные возможности которого со временем практически не меняются. Но в него постоянно вносятся доработки: повышение числа детектируемых индикаторов, информирующих о причастности жертвы к финансовой деятельности, увеличение количества способов обнаружения, анализ и отключение средств антивирусной защиты.
Полную версию отчета «Исследования вредоносного ПО RTM» от компании BI.ZONE можно скачать по следующей ссылке.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ